Tedarik zinciri güvenliği, SolarWinds ve Log4j gibi yüksek profilli saldırıların ardından gündem oldu, ancak bugüne kadar bunu tanımlamanın veya ölçmenin üzerinde anlaşmaya varılmış tek bir yolu yok. Bu amaçla, MITRE, yazılım dahil olmak üzere tedarik zinciri üzerindeki riskleri ve güvenlik endişelerini tanımlayan ve ölçen bilgi ve iletişim teknolojisi (BİT) için bir prototip çerçevesi oluşturmuştur.
MITRE’nin sözde Güven Sistemi (SoT) prototip çerçevesi, özünde tedarikçileri, malzemeleri ve hizmet sağlayıcıları değerlendirmek için standart bir metodolojidir. Yalnızca siber güvenlik ekipleri tarafından değil, bir tedarikçi veya ürünü değerlendirmek için bir kuruluş genelinde kullanılabilir.
“Bir muhasebeci, bir avukat, [or] bir operasyon yöneticisi bu yapıyı en üst düzeyde anlayabilir,” diyor MITRE Labs’de kıdemli yazılım ve tedarik zinciri güvence baş mühendisi olan Robert Martin. “Güven Sistemi, şu anda birbirine bağlanmayan mevcut yetenekleri organize etmek ve birleştirmek ile ilgilidir. ” örneğin, yazılımın ve servis sağlayıcı tekliflerinin tam olarak incelenmesini sağlamak için.
SoT, önümüzdeki ay San Francisco’daki RSA Konferansı’nda (RSAC) resmi olarak halka tanıtılacak. Martin çerçeveyi sunacak proje için güvenlik topluluğu desteği ve içgörü toplamanın ilk adımı olarak. Şimdiye kadar, ilk geri bildirimin “çok olumlu” olduğunu söylüyor.
MITRE, siber güvenlik sektöründe en iyi bilinen yazılım güvenlik açıklarını tanımlayan Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) sistemini yönetmesi ve son olarak tehdit gruplarının ağlara sızmak ve sistemleri ihlal etmek için kullandığı ortak adımları haritalayan ATT&CK çerçevesi için bilinir.
Martin, RSAC sunumu sırasında SoT çerçevesini göstereceğini ve proje hakkında daha fazla ayrıntı sağlayacağını söylüyor. Çerçeve şu anda kuruluşların satın alma sürecinde değerlendirmeleri gereken, finansal istikrardan siber güvenlik uygulamalarına kadar her şeyi içeren 12 üst düzey risk alanını içermektedir. 400’den fazla özel soru, tedarikçinin yazılım bileşenlerini doğru ve kapsamlı bir şekilde izleyip izlemediği, bütünlük ve güvenlikleri gibi konuları ayrıntılı olarak kapsar.
Her risk, bir puanlama algoritmasına uygulanan veri ölçümleri kullanılarak puanlanır. Ortaya çıkan veri puanları, örneğin belirli risk kategorilerine karşı bir tedarikçinin güçlü ve zayıf yönlerini tanımlar. Böylece bir kuruluş, bir yazılım tedarikçisinin “güvenilirliğini” daha nicel olarak analiz edebilir.
SBOM Simetrisi
Martin, yazılım tedarik zinciri güvenliği ile SoT’nin yazılım malzeme listesi (SBOM) programlarıyla da el ele gittiğini söylüyor. Örneğin, bir yazılım bileşeni olan “SBOM’lar, neden güvenmeniz gerektiğini anlamanız için size daha derin bir neden verebilir”. SoT’deki çeşitli risk faktörleri arasında, SBOM’lar bu riskleri gerçekten azaltabilir veya en azından yazılıma ve herhangi bir riske ilişkin daha iyi bilgi sağlayabilir.
“SBOM’un soy bilgisi varsa, bu bilgi yazılımı oluşturmak için kullanılan araç ve tekniklerin – yazılımı oluşturmak için tekrarlanabilir yapıların kullanılıp kullanılmadığının, bellek koruma yöntemlerinin – değerlendirilmesine olanak tanır. [were] oluşturma sırasında çağrıldı” ve diğer ayrıntılar, diye belirtiyor.
Peki, SoT çerçevesi risk yönetimi modellerinden nasıl farklıdır? Martin, geleneksel risk yönetiminin olasılıkları kullandığını söylüyor. SoT ile, belirli alanlarda risk olup olmadığını ve varsa gerçekten ne kadar kötü olduğunu belirlemek için değerlendirilebilecek ve puanlanabilecek bir risk listesi vardır.
Tedarik zinciri değerlendirmelerinde “Değerlendirme yapmanın tutarlı bir yolunu sağlamaya yardımcı olmak istiyoruz … ve mümkün olan her yerde veriye dayalı kararları teşvik etmek istiyoruz” diyor.
Sonraki adımlar: SoT kavramının tanıtılması ve genel yorum ve inceleme için canlı sınıflandırmanın sunulması. “O zaman hangi parçaların nerede ve nerede otomatikleştirilebileceğini görebiliriz” ve satın alma sürecine entegre edilmesini sağlayabiliriz. Satıcılar da ürün malzemelerinde SoT terminolojisini kullanabilir.
Martin, “‘Tedarik zincirinin’ birçok farklı anlamı var,” diye açıklıyor. “ABD’de mikro elektronikten denizaşırı ülkelere karşı konuşmuyoruz. Liman sorunlarını çözmeye çalışmıyoruz. Bunun normal bir parçası olarak tedarik zinciri endişelerini içeren bir kurumsal risk yönetimi kültürü elde etmeye çalışıyoruz. Tedarik zinciri risklerinin daha iyi anlaşılması için bazı tutarlılıklar, otomasyon ve veriye dayalı kanıtlar getirin.”