Kurumsal siber güvenliğe yönelik en büyük tehditlerden biri, yeniden amaca yönelik üçüncü taraf kodu ve açık kaynak kodu içerir;
Google’ın düşün Garantili Açık Kaynak Yazılım hizmeti büyük bir yardım olurdu.
Tekrar düşün.
İşte Google’ın konuşması: “Assured OSS, açık kaynaklı yazılımların kurumsal ve kamu sektörü kullanıcılarının, Google’ın kullandığı aynı OSS paketlerini kendi geliştirici iş akışlarına kolayca dahil etmelerini sağlar. Assured OSS hizmeti tarafından düzenlenen paketler, güvenlik açıkları için düzenli olarak taranır, analiz edilir ve bulanıklık testi yapılır; Kapsayıcı/Yapı Analizi verilerini içeren ilgili zenginleştirilmiş meta verilere sahip olmak; doğrulanabilir SLSA uyumluluğuna ilişkin kanıtlar dahil olmak üzere Cloud Build ile oluşturulmuştur; Google tarafından doğrulanabilir şekilde imzalanmışsa; ve Google tarafından güvence altına alınan ve korunan bir Artifact Registry’den dağıtılır.”
Bu hizmet, son kullanıcıya bağlı olarak yararlı olabilir veya olmayabilir. Bazı şirketler için – özellikle küçük ve orta ölçekli işletmeler – özel BT ekibi olmayan küçük operasyonlar için değeri olabilir. Ancak daha büyük işletmeler için işler çok farklı.
Siber güvenlikteki her şey gibi, güvenle başlamalıyız. BT, Google’ın buradaki çabalarına güvenmeli mi? İlk olarak, Google uygulama mağazası Google Play için zaten birçok kötü amaçlı yazılım yüklü veya sorunlu uygulama onaylandı. (Adil olmak gerekirse, Apple’ın uygulama mağazasında olduğu kadar kötü.)
Bu noktayı ortaya koyuyor. Kodda herhangi bir güvenlik sorunu bulmak olağanüstü derecede zordur. Hiç kimse bunu mükemmel bir şekilde yapamayacak ve Google (ve Apple) bu alanlara uygun şekilde personel sağlayacak iş modeline sahip değil. Bu yüzden sivilceli olan otomasyona güveniyorlar.
Beni yanlış anlama. Google’ın denediği şey çok iyi bir şey. Ancak temel kurumsal BT sorusu, bu programın farklı bir şey yapmalarına izin verip vermeyeceğidir. olmayacağını savunuyorum.
BT’nin herhangi bir sorun için her bir kod parçasını – özellikle açık kaynak – taraması gerekir. Bu, kötü amaçlı yazılım, fidye yazılımı, arka kapılar veya diğer kötü niyetli herhangi bir şey gibi kasıtlı sorunları içerebilir. Ancak aynı zamanda tesadüfi delikleri de içerecektir. Yazım hatalarına veya özensiz kodlamaya karşı tamamen mücadele etmek zordur.
Kodlayıcılar/programcılar bu Google programından gelen kodu tekrar kontrol etmemeyi haklı gösteremezler. Ve hayır, Google’ın dahili olarak kullandığı şeyin bu olduğu bilgisi, hiçbir CIO’yu, BT Direktörünü veya CISO’yu sıcak ve bulanık hissettirmemelidir.
Bu daha büyük bir sorunu gündeme getiriyor: tüm işletmeler meli başka bir yerden eriştikleri her kod satırını kontrol edin ve iki kez kontrol edin – istisna yok. Bununla birlikte, gerçekliğin idealle buluştuğu yer burasıdır.
Yazılım güvenliği firması Veracode’un kurucularından biri olan Chris Wysopal ile Google’ın bu hamlesini tartıştım ve bazı dikkat çekici noktalara değindi. Biri geliştiriciler/kodlayıcılar ve BT yönetimi arasında, diğeri BT yönetimi (CIO) ve güvenlik yönetimi (CISO) arasında olmak üzere birkaç bağlantı sorunu söz konusudur.
İlk bağlantı kesilmesine gelince, BT istediği kadar politika bildirisi yayınlayabilir. Alandaki geliştiriciler bu fermanları görmezden gelmeyi seçerse, yaptırıma gelir. Her iş kolu yöneticisinin BT’nin boynunu büktüğü, her şeyi hemen talep ettiği ve geliri yaratanların bu kişiler olduğu, yani muhtemelen CFO veya CEO ile herhangi bir savaşı kazanacakları anlamına gelirken, uygulama zordur.
Bu, BT’nin gerçekten de, hangi kodun yaramaz ve güzel olduğunu görmek için dış kodun iki kez kontrol edilmesini talep eden fermanlar yayınladığını varsayar. Bu ikinci çelişki: CISO’lar, STK’lar ve CRO’ların tümü kod kontrolünün rutin olarak yapılmasını isterken BT Yöneticileri ve CIO’lar daha az agresif bir pozisyon alabilir.
Google’ın bu hamlesinde yanlış bir güvenlik duygusu olarak tanımlanabilecek bir risk var. BT’deki bazı kişiler, iş kollarından gelen zaman baskısına boyun eğmek ve Google’ın Assured programından herhangi bir şey üzerinde siber güvenlik kontrollerinden feragat etmek için Google’ın teklifini bir fırsat olarak kullanmak için bir cezbedici olacaktır. Açık konuşmak gerekirse, bu, kesinlikle her şeyi yakalamak için Google’ın ekibine tamamen (ve körü körüne) güvenmeye karar vermek anlamına gelir.
Bir Fortune 1000’in (veya özel sektördeki benzerlerinin) bir BT yöneticisinin buna inandığını ve bu şekilde davrandığını hayal edemiyorum. Ancak, iş liderlerinden hızlı hareket etmeleri için baskı alıyorlarsa, yapmamaları gerektiğini bildikleri şeyi yapmak için nispeten yüzleri kurtaran bir bahane.
Bu bizi bazı rahatsız edici gerçeklerle uğraşmaya zorluyor. Google Assured, denetlenmeyen koddan daha mı güvenli? Kesinlikle. Mükemmel olacak mı? Tabii ki değil. Bu nedenle ihtiyat, BT’nin daha önce yaptığına devam etmesi ve tüm kodları kontrol etmesi gerektiğini belirtir. Bu, Google’ın çabasını kuruluşla oldukça alakasız hale getirir.
Ama bu o kadar basit değil ve asla da değil. Wysopal, birçok işletmenin ne yapmaları gerektiğini kontrol etmediğini savunuyor. Eğer bu doğruysa – ve ne yazık ki öyle olduğunu kabul ediyorum – o zaman Google Assured, geçen aya göre bir gelişmedir.
Başka bir deyişle, zaten çok fazla köşeyi kesiyorsanız ve bunu yapmaya devam etmeyi planlıyorsanız, Google’ın hamlesi iyi bir şey olabilir. Kod kontrolü konusunda katıysanız, bunun bir önemi yoktur.
Wysopal ayrıca, bir işletmenin kod kontrol yaklaşımından bağımsız olarak, Google’ın ölçeğinin çok fazla yardımcı olamayacak kadar küçük olduğunu savunuyor. Wysopal, “Bu projenin büyük bir fark yaratmak için 10 kat ölçeklenmesi gerekecek” dedi.
Bu BT liderleri ne yapıyor? olumsuzluk kesinlikle kodu kontrol et? “Bir başkasının güvenlik açığını bulmasını (ve sonra düzeltmesini) beklerler. İşletme, bir tür aptal açık kaynak tüketicisidir. Wysopal, “Başka biri tarafından bir güvenlik açığı bulunursa, güncelleyebilecekleri bir sistem istiyorlar” dedi. “Sıkı bir politikası olan ve iyi bir şekilde uyguladıkları bir kuruluş bulmak nadirdir. Çoğu, geliştiricilerin herhangi bir katı süreç olmadan açık kaynak seçmesine izin verir. Uygulama güvenliği işleri yavaşlatmaya başlar başlamaz atlanır.”
Google’ın hamlesi, çok fazla güvenlik köşesi kesenler için iyi bir haber. Bu işletmelerden kaç tane var? Bu tartışılabilir, ancak korkarım ki Wysopal, herkesin kabul etmek istediğinden daha haklı olabilir.
Telif Hakkı © 2022 IDG Communications, Inc.