ABD İç Güvenlik Bakanlığı Perşembe günü Siber Güvenlik İnceleme Kurulunu (CSRB) kurdu ve 15 üyeli grubu geçen yılın sonlarında Log4j güvenlik açığının yanıtlanması ve ele alınmasıyla ilgili bir soruşturma yapmakla görevlendirdi.
Biden yönetiminin geçen Mayıs ayında yayınlanan 14028 sayılı İcra Kararı ile oluşturulması zorunlu kılınan CSRB, “hükümetin, endüstrinin ve daha geniş güvenlik topluluğunun ulusumuzun ağlarını ve altyapısını daha iyi koruyabilmesi için önemli siber güvenlik olaylarını” gözden geçirmek ve değerlendirmekle görevlendirildi. DHS durumları. İlk olarak, panel Aralık 2021’de Log4j yazılım kitaplığında bulunan güvenlik açıklarına endüstri, topluluk ve hükümetin tepkisini araştıracak.
Silverado Policy Accelerator’ın kurucu ortağı ve başkanı CSRB üyesi Dmitri Alperovitch, amacın hem kamu hem de özel sektöre gelecekte güvenlik açığı açıklamalarına yanıtlarını iyileştirmelerine yardımcı olabilecek önerilerde bulunmak olduğunu söylüyor. Bu şekilde, CSRB, Ulusal Ulaştırma Güvenliği Kurulu (NTSB) gibi diğer hükümet inceleme kurullarından farklı olacaktır.
Aynı zamanda kurucu ortak ve eski şef olan Alperovitch, “Yapılacak en yararlı şey, özellikle belirli bir şirkete veya bireysel bir soruşturmaya odaklanmak değil, buna bir endüstri olarak daha iyi neler yapılabileceği açısından bakmaktır” diyor. CrowdStrike’ın teknoloji sorumlusu. “Buna bütünsel olarak baktığımızda, insanların bu konuda daha iyi olmalarına ve ihtiyaç duydukları kaynakları onlara daha hızlı ulaştırmalarına nasıl yardımcı olabiliriz?”
CSRB, ABD hükümeti tarafından siber olaylara verilen yanıtın iyileştirilmesi ve kritik güvenlik açıklarının ifşa edilmesi için atılan en son adımdır. 2016 yılında, Obama yönetimi bir başkanlık politikası yönergesi yayınladı (PPD-41) herhangi bir büyük siber olay için gerekli devlet kurumlarının bir Siber Birleşik Koordinasyon Grubunda (CUCG) özel sektörle çalışmasını gerektiren ABD Siber Olay Koordinasyonu için. Biden yönetiminin yürütme emri, Siber Güvenlik İnceleme Kurulunun toplanmasını zorunlu kılıyor CUCG oluşturulmasını gerektiren herhangi bir olayın ardından.
Kurul, bu yaza kadar Log4j güvenlik açığını daha kapsamlı bir şekilde gözden geçiren ve değerlendiren, devam eden herhangi bir tehdidi azaltmak için daha fazla eylem öneren ve gelecekteki siber güvenlik ve olay yanıtlarını iyileştirmek için uygulamalar ve politikalar öneren bir rapor yayınlayacak.
CISA direktörü Jen Easterly, “Sürekli bir öğrenme kültürü, günümüzün karmaşık teknoloji ortamında karşılaştığımız giderek karmaşıklaşan siber tehditlerin bir adım önünde olmak için kritik önem taşıyor” dedi. ifade kurulu duyuruyor. “Orduda yirmi yılı aşkın bir süredir, hem başarısızlıkları hem de başarıları ortaya çıkarmak için ayrıntılı ve şeffaf bir Eylem Sonrası İnceleme sürecinin önemini öğrendim … [Our] ilk Siber Güvenlik İnceleme Kurulu [will] Ulusumuzu tehdit edebilecek önemli siber olayları tam olarak anladığımızdan ve bunlardan ders aldığımızdan emin olmak gibi benzer bir zorluğu üstleniyoruz.”
Son on yılın büyük siber olaylarının genellikle ortak bir soyağacı vardır: küçük bir ekip tarafından veya daha büyük bir açık kaynak projesinin çatısı altında yönetilen popüler bir açık kaynak kitaplığı veya bileşeni. 2014 yılında, araştırmacılar OpenSSL’de Heartbleed güvenlik açığını keşfettiklerinde, tek bir tam zamanlı bakıcı, başka bir yarı zamanlı bakıcı ve yılda 2.000 dolardan az bağış vardı. bir OpenSSL danışmanı tarafından yazılan bir blog yazısı. Apache Foundation, Log4j paketinden sorumludur, ancak sorundan kaynaklanan güvenlik açığı ayak izinin çoğu, bakımcılarının sorumluluğunda olan ve her savunmasız projeden tamamen ortadan kaldırılması yıllar alabilen diğer açık kaynak projelerinden kaynaklanmaktadır.
Luta Security’nin kurucusu ve CEO’su ve yeni CSRB’nin bir üyesi olan Katie Moussouris, bu bakımcıların çoğunun kod yönetimi konusunda uzman olduğunu, ancak güvenlik açığı açıklamalarını ele alma veya azaltma sürecini yönetme konusunda uzman olmadığını söylüyor. Güvenlik açığı yanıtı, özel bilgi ve emek gerektiren bir şey, diyor.
Moussouris, “Bu, hatayı bulmakla aynı şey değil – bu bir dizi beceri. Ve hatayı düzeltmekle aynı değil – bu farklı bir beceri dizisi. Bu başka bir şey” diyor. “Bu beceriyi geliştirmeye zorlanan en büyük şirketlerin bazılarında çok az sayıda cep dışında var olmayan organize özel iş gücü – güvenlik açıklarını temel nedenine kadar tüm yol boyunca analiz etme ve bir düzeltme oluşturma yeteneği. kolay atlatılamaz.”
Bu uzmanlık bilgisine sahip profesyonelleri eğitmek ve işe almak yeterince zordur. Açık kaynak projelerinin koruyucularının da bu becerilere sahip olmasını beklemek gerçekçi olmayabilir. Ama kesinlikle gerekli, diyor.
Moussouris, “Programa bakımcılar tarafından dahil edilen uzmanlık bilgisi ve becerileri olmadan, bunu tekrar tekrar göreceğiz” diyor. “Özel analiz yeteneklerini erkenden geliştirmek zorunda kalan Microsoft gibi şirketler bile mükemmel bir geçmişe örnek teşkil etmiyorlar. Microsoft’un yamaları kaç kez yeniden yayınlaması gerektiğine bir bakın – bu, doğruyu bulmak için önemsiz bir beceri seti değil. ve tutarlı bir şekilde doğru yapmak için.”
Log4j
Hem Alperovitch hem de Moussouris, endüstrinin Log4j ifşasını ve azaltmasını ne kadar iyi idare ettiği konusunda fikir vermeyi reddetti. Her ikisi de halkın CSRB’nin nihai sonuçlarını beklemesini talep etti.
Alperovitch, bu tür güvenlik açıklarını tespit edecek ve azaltacak araçların mevcut olduğunu, ancak öyle olsa bile, sorunu ortadan kaldırmanın yolunun büyük olasılıkla uzun olacağını belirtti.
“Bu çok önemli bir güvenlik açığıydı, kariyerim boyunca gördüğüm en etkili güvenlik açığıydı ve yazılımın ne kadar derine gömülü olduğunu önümüzdeki yıllarda göreceğiz” diyor. “Bununla birlikte, bu etkiye sahip bir şeyle, gelecekte nasıl daha iyisini yapacağımızı belirlemek önemlidir?”