Dijital dünyanın karmaşıklığı ve birbirine bağlılığı giderek artıyor ve bu, yazılım tedarik zincirlerinde olduğu kadar belirgin değil. Diğer yazılım bileşenlerini geliştirme yeteneğimiz, daha hızlı yenilik yaptığımız ve herkes için daha iyi ürünler ve hizmetler oluşturduğumuz anlamına gelir. Ancak üçüncü taraf yazılımlara ve açık kaynağa olan bağımlılığımız, dijital altyapıyı nasıl savunmamız gerektiğinin karmaşıklığını artırıyor.
Son anketimiz siber güvenlik uzmanlarının üçte birinin saldırı yüzeylerinin %75’inden daha azını izlediğini ve neredeyse %20’sinin saldırı yüzeylerinin yarısından fazlasının bilinmediğine veya gözlemlenemediğine inandığını tespit etti. Log4Shell, Kaseya ve SolarWinds, bu istatistiklerin geniş kapsamlı sonuçları olan yıkıcı ihlaller olarak nasıl ortaya çıkabileceğini ortaya çıkardı. Siber suçlular, tedarik zincirlerinin istismara karşı oldukça savunmasız olduğunu zaten biliyorlar.
Güvensiz Yazılım Tedarik Zincirleri Neden Herkesin Sorunu?
Geçen yıl, bir tehdit aktörü, VSA koduna REvil fidye yazılımını enjekte etmek için Sanal Sistem Yöneticisi (VSA) sağlayıcısı Kaseya’daki bir güvenlik açığından yararlandı. Kaseya, binlerce yönetilen hizmet sağlayıcıyı (MSP) ve işletmeyi destekledi ve ihlali, binlerce kuruluş içindeki kritik bir ağı tehlikeye attı. Sonuç olarak, bu kuruluşların iç sistemleri de tehlikeye girdi.
Kaseya’nın müşterileri üzerindeki dalgalanma etkisi, üçüncü taraf bir yazılım satıcısı kullanan herhangi bir kuruluşun başına gelebilir. bu Avrupa Birliği Siber Güvenlik Ajansı (ENISA), son 24 yazılım tedarik zinciri saldırısını analiz etti ve güçlü güvenlik korumasının artık yeterli olmadığı sonucuna vardı. Rapor, tedarik zinciri saldırılarının 2020’de sayı ve gelişmişlik açısından arttığını, 2021’de devam ettiğini ve son saldırılar Lapsus$’a göre 2022’ye kadar devam etmesi muhtemel.
Üçüncü taraf yazılım satıcılarına benzer, ancak daha da büyük bir ölçekte, açık kaynak kodu güvensiz bırakılırsa dijital işlev üzerinde yıkıcı bir etkiye sahiptir – Log4Shell’in yol açtığı tahribat bunu göstermektedir. Bu sonuçlar kısmen, açık kaynaklı yazılımların neredeyse tüm modern dijital altyapıların ve her yazılım tedarik zincirinin temelini oluşturmasından kaynaklanmaktadır. Ortalama uygulama kullanır 500’den fazla açık kaynak bileşeni. Yine de projeleri gönüllü olarak destekleyen bakım görevlileri için sınırlı kaynaklar, eğitim ve mevcut zaman, güvenlik açıklarını gidermek için mücadele ettikleri anlamına gelir. Bu faktörler muhtemelen yüksek riskli açık kaynak güvenlik açıklarına katkıda bulunmuştur. yıllarca kodda kalan.
Bu sorun acil eylem gerektirir. Bu nedenle Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) güvenlik yönergeleri Şubatta. Ancak yazılım tedarik zincirini etkili bir şekilde denemek ve güvence altına almak için neden hala bu kadar yavaşız? Çünkü nereden başlayacağınızı bilmek zor. Kendi yazılımlarınız ve yeni ürünleriniz için güvenlik güncellemelerine ayak uydurmak, diğer satıcıların kuruluşunuzun standartlarına uyduklarından emin olmak için denetlemek bir yana, zordur. Daha fazla karmaşıklık eklemek için, dijital altyapıyı destekleyen birçok açık kaynak bileşeni, proje yürütücülerin bu bileşenleri tamamen güvenli tutması için uygun kaynaklardan yoksundur.
Başlamak
Peki, nasıl güvence altına alacağız? Her şey oldukça göz korkutucu görünüyor, ancak buradan başlayabilirsiniz.
İlk olarak, evinizi düzene sokun ve saldırı direnci boşluğunuzu, yani kuruluşların savunabilecekleri ile savunmaları gerekenler arasındaki boşluğu belirleyin. Tedarik zincirinizi bilin ve başarı için ekipler oluşturan stratejiler uygulayın:
- Bir yazılım malzeme listesi (SBOM) gerektir ve hangi satıcıların, programların ve ağların sizi riske atabileceğini bilmek için kuruluşunuzun yazılım lisanslarının doğru bir envanterini tutun. Açık kaynaklı yazılım bileşenlerinin belgelenmesi özellikle zordur; en Linux Vakfı ve Uluslararası Standardizasyon Örgütü (ISO)
kuruluşların SBOM’ları için açık kaynağı izleme ve belirleme yaklaşımını belirlemelerine yardımcı olacak kaynaklara sahip olun.
- Yazılımınızın (mevcut veya gelecekteki satın alımlar) kritik süreçlerinizi nasıl desteklediğini veya bunlarla nasıl ilişkili olduğunu net bir şekilde anlayın. Bu ilişkinin bilgisi, güvenlik ekiplerine güvenliğe öncelik vermek için iş gerekçesi oluşturma ve savunmasız satıcıya veya bileşene bağlı olarak işin hangi unsurlarının riske atılacağını daha iyi anlama yetkisi verir.
- Yazılım güvenliğinin sahipliğini geliştirmenin en erken aşamalarına kaydırma. “Sola kaydırma” olarak bilinen bu, geliştiricilerin güvenlik standartlarından haberdar olmasını sağlar, bu nedenle güvenlik ve geliştirme ekipleri güvenli ürünler oluşturmak için işbirliği yapar ve halihazırda dağıtılan güvenli olmayan ürünlerin yama miktarını azaltır.
Ardından, kuruluşunuzun güvenliğini ve İnternet’in toplu güvenliğini sağlamak için stratejilerinizi ve standartlarınızı uygulayın:
- Her yazılım satıcısını olaya hazırlık durumuna göre değerlendirin ve hesap verebilirlik oluşturun. Tedarik zincirinize bir satıcıyı dahil etmek, bir güven ifadesidir ve bu güveni yalnızca ortağın değerli olduğuna inandığınızda genişletmelisiniz. Organizasyonunuz ve tedarik zinciriniz genelinde şeffaflık, mükemmel olay müdahalesinin anahtarıdır. Ayrıca, yönergeleri bilgilendirmek için olay müdahalesi ve ifşası için önceden var olan başarılı programlardan gelen dili de kullanabilirsiniz.
- Net bir bütünlük çerçevesi benimseyin ve ayrıntılı bir satıcı işe alım süreci. Çerçeve, her bir tedarikçinin yazılım lisansının kuruluşunuzu nasıl desteklediğine ve dahili olarak kullandıkları güvenlik araçlarına ilişkin belgeleri içermelidir.
- Güvenliği artırmak için bir strateji geliştirin açık kaynak bileşenlerinin ve proje bakımını desteklemeye adanmış kuruluşlar aracılığıyla güvenliklerine katkıda bulunur. Açık kaynak projelerine katkıda bulunmak, kuruluşunuzun ve açık kaynak kodunu kullanan herkesin riskini azaltır.
Siber güvenlik camiasındaki çoğu kişi Murphy Yasasına aşinadır: “Her şey ters gidebilir” – bu alanda çalışan herkesin zihniyetini tanımlar. Ve bu sektördeki deneyimim bana bir şey öğrettiyse, dijital varlıkları güvence altına almanın zorlukları, riskleri ve karmaşıklığındaki kaçınılmaz artışa ayak uydurmak için elinizden gelenin en iyisini yapmalısınız. Bu zorlukların bir adım önünde olmanın bir parçası, konu en iyi güvenlik uygulamalarınız olduğunda oldukça proaktif kalmaktır ve yazılım tedarik zincirinizi henüz düzgün bir şekilde güvenceye almadıysanız, zaten geride kalmışsınızdır. Ancak yanlış bir başlangıç yapmış olsanız bile, iyi haber şu ki tekrar kalkmak için asla geç değildir.