Artan yazılım tedarik zinciri güvenlik riskleri çağında güvenlik açığı yönetimi iş yüklerinin balonlaşmasıyla, bugün yapılan bir araştırma, günümüzün kusurlarının yalnızca yaklaşık %3’ünün saldırganlar tarafından gerçekten erişilebilir olduğunu gösteriyor. Veriler, uygulama güvenliği (appsec) uzmanları ve geliştiricileri, gerçekten saldırıya açık olanı düzeltmeye ve azaltmaya odaklanmaya çalışırsa, ekiplerinin üzerindeki yükü önemli ölçüde azaltabileceklerini ima ediyor.
ShiftLeft’in yeni çalışması, 2022 AppSec İlerleme Raporu, appsec ve geliştirme ekiplerinin “saldırılabilir” olanlara odaklanarak güvenlik açıklarını daha etkili bir şekilde gözden geçirebileceğini öne sürüyor. Rapordan elde edilen veriler, geliştiricilerin kritik olarak derecelendirilmiş güvenlik açıklarıyla kullanımda olan paketleri incelerken saldırıya uğrayabilirliği düşündüklerinde, yanlış pozitif kitaplık yükseltme biletlerinde %97’lik bir azalma gördüklerini gösteriyor.
Eğer doğruysa, bu birçokları için sevindirici bir rahatlama olacaktır. Güvenlik açığı yönetimi olduğu gibi zaten yeterince zordu, ancak üçüncü taraf kusurlarının ek karmaşıklığı – özellikle bu güvenlik açıklarının çok sayıda yazılım parçası arasında dalgalanan etkisinin ölçeği – yalnızca etkili önceliklendirme yoluyla yönetilebilecek daha da göz korkutucu bir iş yükü yaratıyor. Güvenlik ve geliştiriciler, belirli bir zaman diliminde çok sayıda uygulamada yalnızca bu kadar çok güvenlik açığına ulaşabilir. Telafi edici kontrollerle düzelttikleri veya hafiflettiklerinin önemli olduğundan emin olmaları gerekir.
Güvenlik Açıkları için ‘Saldırılabilirlik’ Ne Anlama Geliyor?
ShiftLeft CEO’su Manish Gupta, neyin saldırıya açık olduğuna karar vermenin, bilinen güvenlik açıklarına sahip açık kaynak bağımlılıklarının varlığının ötesine bakmak ve bunların gerçekte nasıl kullanıldığını incelemekle mümkün olduğunu söylüyor.
Gupta, “Bu güvenlik açıklarını kolayca bulup rapor edebilecek birçok araç var. Ancak bu bulgularda çok fazla gürültü var” diyor. “Örneğin, uygulamada bağımlılığın nasıl kullanıldığını düşünmüyorlar; uygulamanın bağımlılığı kullanıp kullanmadığını bile düşünmüyorlar.”
Saldırıya uğrayabilirlik için analiz etme fikri, CVE’yi içeren paketin uygulama tarafından yüklenip yüklenmediği, uygulama tarafından kullanılıp kullanılmadığı, paketin saldırgan kontrollü bir yolda olup olmadığı ve erişilebilir olup olmadığı gibi ek faktörlerin değerlendirilmesini de içerir. veri akışları aracılığıyla Özünde, yangın tatbikatlarını büyük ölçüde azaltmak amacıyla açık kaynak güvenlik açıklarına yönelik basitleştirilmiş bir tehdit modelleme yaklaşımı benimsemek anlamına gelir.
CISO’lar bu tatbikatlara zaten çok aşina oldular. Log4Shell veya Spring4Shell gibi yeni bir yüksek profilli tedarik zinciri güvenlik açığı, endüstrinin geri kanallarına çarptığında ve ardından medya manşetlerinde patladığında, ekipleri, bu kusurların uygulama portföylerini nerede ve daha uzun süre etkilediğini bulmak için uzun günler ve geceler çekmeye çağrılır. risk maruziyetlerini en aza indirmek için düzeltmeler ve hafifletmeler uygulamak için saatler.
Bu noktaya kadar: Rapor, savunmasız Log4J bağımlılıklarının %96’sının saldırıya açık olmadığını kaydetti.
Öne Çıkan Yazılım Bağımlılıkları
Modern geliştirme yığınlarında hem birinci elden hem de üçüncü taraf bağımlılıkları aracılığıyla açık kaynak bağımlılıklarına duyulan güven artıyor.
Gupta, “Çok sayıda bağımlılık kullanan herhangi bir büyük uygulama için, ayda birkaç kez yeni CVE’lere sahip olmak yaygındır” diyor. “Organizasyondaki tüm uygulamalarla çarpın, tüm yükseltmelere ayak uydurmanın kolay bir iş olmadığını hayal edebilirsiniz.”
Bir paketi güncellemek kolay olsa da, böyle bir değişikliği çevreleyen ilgili geliştirme çalışmalarının genellikle önemli olabileceğini söylüyor. Genellikle tek bir kitaplık yükseltmesi, yalnızca güvenlik için değil, işlevsellik ve kalite için de bir dizi yeni testi hızlandırabilir ve potansiyel olarak kodun yeniden düzenlenmesini gerektirebilir.
“Ürün kalitesi konusunda ciddi olan hiçbir kuruluş, kapsamlı testler yapmadan bir ürünü sevk etmeyecektir” diye açıklıyor. “Ayrıca kitaplık yükseltmeleri her zaman güvenli değildir; açık kaynak kitaplıkların yeni sürümlerinin tamamen geriye dönük uyumlu olacağının garantisi yoktur. Bu nedenle, bazen ekiplerin bir kitaplığı yükseltmeden önce uygulamalarının nasıl çalıştığını değiştirmeleri gerekir.”
Saldırılabilirlik Belirleme Mümkün mü?
OWASP’ın kurucusu ve uzun süredir appsec savunucusu olan Mark Curphey’e göre, böyle bir önceliklendirme modeli arayışı yeni bir şey değil. Ancak, bugünün uygulama ortamında neyin riskli veya saldırıya açık olduğunu belirlemek için analiz boyutlarını seçmenin ShiftLeft’in önerdiğinden daha karmaşık olabileceğini söylüyor.
“Açık kaynak kitaplıklarındaki savunmasız yöntemlerin büyük çoğunluğuna ulaşılamadığını ve bu nedenle istismar edilemez olduğunu söylemek doğru ve adildir, ancak şimdi açık kaynak kitaplıklarının her türlü ürünü sunan ayrıntılı mağaza vitrinleri gibi olduğu bir dünyadayız. geliştiricilerin tüketmesi için güzellikler” diyor Curphey, Dark Reading’e. “Bir endüstri olarak, kısa süre önce Log4J destanından, bir sorun JNDI arayüzü gibi bir şey olduğunda ve çok az kişinin gerçekten kullandığını öğrendik, yine de istismara giden yollar vardı ve bu yüzden hepimizin sorunla yüzleşmek zorunda kaldık.”
Şu anda en son appsec başlangıcı olan Crash Override için bir dinleme turunda, STK’ların günümüzdeki en büyük appsec sorunlarının neler olduğunu soruyor ve neredeyse hepsi önceliklendirmenin 1 numaralı sorunları olduğunu söylüyor. Bunun appsec’in çözmesi gereken bir sonraki büyük sorunu olabileceğine inanıyor.
Curphey, “Yani raporun temel önermesi tamamen mantıklı, ancak görüşmelerden de öğrendiğimiz şey, bu soruyu yanıtlamanın ‘belirli bir kod parçası mı kullanıyorum’ sorusundan çok daha zor ve karmaşık olduğudur” diyor. “Sistemin kaç kullanıcısı olduğunu, sistemden ne kadar para aktığını, genel profilini, ne tür verileri işlediğini, fiziksel olarak nerede bulunduğunu ve dolayısıyla hangi yasaların geçerli olduğunu içeren iş kritikliği gibi şeyler. Bu tekniktir. diğer sistemlere nasıl bağlandığı ve hangi kontrollerin, izlemenin ve uyarıların mevcut olduğu gibi şeyler ve liste uzayıp gidiyor.”
Bir önceliklendirme filtresi olarak “saldırılabilirlik” veya “erişilebilirlik” kullanmanın diğer sorunlu yanı, bir saldırganın nelere erişebileceğini belirlemek için kullanılan temel teknik verileri anlamaktır, diyor Sonatype ürün inovasyonu başkan yardımcısı Stephen Magill.
Magill, “Saldırılabilirlik ve ‘ulaşılabilirlik’, temeldeki güvenlik açığı verileri iyi olduğunda güvenlik açıklarına öncelik vermenin yararlı yolları olabilir. Yararlı olmayan şey, kötü güvenlik açığı verilerini telafi etmenin bir yolu olarak saldırıya açıklığa veya erişilebilirliğe güvenmek” diyor. “Sıklıkla, endüstrinin yaptığını görüyoruz: Bağımlılıkları tanımlamak için yanlış yöntemler kullanmak, bunu hangi bağımlılıkların sürümlerinin savunmasız olduğuna dair gürültülü verilerle birleştirmek ve ardından uzun güvenlik açıkları listesini filtrelemek için erişilebilirliğe dayalı önceliklendirmeyi kullanmak. sonuçlar yönetilebilir bir şeye iner.”
Başka bir deyişle, saldırıya uğrayabilirlik önceliklendirmesi, yalnızca onu besleyen güvenlik açığı verileri kadar iyidir, bu nedenle güvenlik ekiplerinin güvenlik açığı verilerini nasıl kaynakladıkları konusunda başlığı gerçekten incelemeleri için bir uyarıdır.
Magill, “Yalnızca genel beslemelerden mi geliyor, yoksa özel bir güvenlik ekibinin derinlemesine araştırmasının sonucu mu? Ayrıca bağımlılıkların nasıl izlendiğini de araştırın” diyor. “Onlar yalnızca bildirim dosyalarında beyan edilen bağımlılıklar mı yoksa araç ikili yapıtların, arşivlerin, JAR’ların vb. analizini destekliyor mu? Bu sorular, önceliklendirilen bulguların kalitesini belirlemenize yardımcı olacaktır. Dedikleri gibi ‘çöp içeri, çöp dışarı. ‘”
Son olarak Magill, güvenlik liderlerinin yazılım tedarik zincirlerine yönelik, açık kaynak projelerinde tesadüfen bulunan normal hata karmaşasının ötesinde birçok tehdidin bulunduğunu hatırlamaları gerektiğini söylüyor.
“Yazılım tedarik zincirlerimize yönelik en büyük tehdit, açık kaynağa yönelik kötü niyetli, amaçlı saldırılardır” diyor. “Bu, odaklanmamız gereken çok daha büyük bir sorun ve saldırıya uğramakla tamamen alakasız.”