Güvenlik endüstrisi, yazılımda yeni güvenlik açıkları keşfedildiğinde toplu olarak aklını kaybeder. OpenSSL bir istisna değildir ve iki yeni güvenlik açığı, 2022 Ekim sonu ve Kasım başında haber akışlarını alt üst etti. Keşif ve ifşa, bu hiç bitmeyen güvenlik açığı döngüsünün yalnızca başlangıcıdır. Etkilenen kuruluşlar, özellikle BT’nin ön saflarında çalışanlar için sancılı olan bir düzeltme ile karşı karşıyadır. Güvenlik liderleri, yeni güvenlik açıkları üzerindeki gürültünün bir kısmını filtrelemeye, tedarik zincirlerine olan etkileri tanımaya ve varlıklarını buna göre güvence altına almaya yardımcı olmak için etkili bir siber güvenlik stratejisi sürdürmelidir.
Tedarik Zinciri Saldırıları Ortadan Kalkmıyor
Yaklaşık bir yıl içinde, bileşenlerde ciddi güvenlik açıkları yaşadık. Log4j, Bahar Çerçevesive AçıkSSL. Eski güvenlik açıklarından yararlanma, yanlış yapılandırılmış veya bilinen güvenlik açığı bağımlılıklarını kullanan uygulamalardan da asla vazgeçmez. Kasım 2022’de halk bir Federal Sivil Yürütme Şubesine karşı saldırı kampanyası (FCEB), devlet destekli bir İran tehdidine atfedilebilir. Bu ABD federal kuruluşu, ilk saldırı vektörü görevi gören Log4Shell güvenlik açığını içeren VMware Horizon altyapısını çalıştırıyordu. FCEB, yanal hareket, kimlik bilgilerinin tehlikeye atılması, sistemin tehlikeye atılması, ağ sürekliliği, uç nokta koruma bypass’ı ve cryptojacking’i içeren karmaşık bir saldırı zinciriyle vuruldu.
Kuruluşlar “neden OSS tüketiyor?” OpenSSL veya Log4j gibi savunmasız paketlerden kaynaklanan güvenlik olaylarından sonra. Tedarik zinciri saldırıları, bileşenlerin yeniden kullanılması iş ortakları ve tedarikçiler için “iş açısından mantıklı” olduğundan, yükseliş eğilimini sürdürüyor. Sıfırdan oluşturmak yerine mevcut kodu yeniden tasarlayarak sistemler tasarlıyoruz. Bu, mühendislik çabasını azaltmak, operasyonel olarak ölçeklendirmek ve hızlı bir şekilde teslim etmek içindir. Açık kaynaklı yazılım (OSS), aldığı kamu denetimi sayesinde genellikle güvenilir kabul edilir. Bununla birlikte, yazılım sürekli değişiyor ve kodlama hataları veya bağlantılı bağımlılıklar nedeniyle sorunlar ortaya çıkıyor. Test ve kullanım tekniklerinin evrimi yoluyla yeni sorunlar da ortaya çıkarılır.
Tedarik Zinciri Güvenlik Açıklarıyla Mücadele
Kuruluşlar, modern tasarımları güvence altına almak için uygun araçlara ve süreçlere ihtiyaç duyar. Güvenlik açığı yönetimi veya belirli bir zamanda yapılan değerlendirmeler gibi geleneksel yaklaşımlar tek başına ayak uyduramaz. Yönetmelikler, “güvenli” ve “uyumlu” arasındaki ayrımı sürdüren bu yaklaşımlara hâlâ izin verebilir. Çoğu kuruluş, bir düzeyde DevOps olgunluğu elde etmeyi arzu eder. “Sürekli” ve “otomatik”, DevOps uygulamalarının ortak özellikleridir. Güvenlik süreçleri farklı olmamalıdır. Güvenlik liderleri, güvenlik stratejilerinin bir parçası olarak derleme, teslim ve çalışma zamanı aşamaları boyunca odaklanmayı korumalıdır:
- CI/CD’de sürekli tarama: Derleme ardışık düzenlerini güvenli hale getirmeyi hedefleyin (yani, sola kaydırma) ancak tüm kodu ve iç içe geçmiş kodu tarayamayacağınızı kabul edin. Sola kaydırma yaklaşımlarının başarısı, tarayıcı etkinliği, tarayıcı çıktısının korelasyonu, sürüm kararlarının otomasyonu ve sürüm pencerelerinde tarayıcı tamamlaması ile sınırlıdır. Aletleme, bulgu riskine öncelik verilmesine yardımcı olmalıdır. Bulguların tümü eyleme geçirilemez ve güvenlik açıkları mimarinizde kullanılamayabilir.
- Teslimat sırasında sürekli tarama: Bileşen uzlaşması ve ortam kayması meydana gelir. Uygulamalar, altyapı ve iş yükleri, kayıtlardan veya depolardan alınırken ve önyükleme yapılırken dijital tedarik zincirinde bir şeyin tehlikeye girmesi ihtimaline karşı teslim edilirken taranmalıdır.
- Çalışma zamanında sürekli tarama: Çalışma zamanı güvenliği, birçok güvenlik programının başlangıç noktasıdır ve güvenlik izleme, çoğu siber güvenlik çabasının temelini oluşturur. Bulut, kapsayıcı ve Kubernetes ortamları da dahil olmak üzere her tür ortamda telemetriyi toplayabilen ve ilişkilendirebilen mekanizmalara ihtiyacınız var. Çalışma zamanında toplanan içgörüler, daha önceki oluşturma ve teslim aşamalarına geri bildirimde bulunmalıdır. Kimlik ve hizmet etkileşimleri
- Çalışma zamanında ortaya çıkan güvenlik açıklarına öncelik verin: Tüm kuruluşlar, her şeyi taramak ve düzeltmek için yeterli zamana ve kaynağa sahip olmakla mücadele ediyor. Risk tabanlı önceliklendirme, güvenlik programı çalışması için temeldir. İnternete maruz kalma sadece bir faktördür. Bir diğeri güvenlik açığı şiddetidir ve kuruluşlar, en fazla etkiye sahip oldukları düşünüldüğünden, genellikle yüksek ve kritik önem derecesine sahip konulara odaklanır. Bu yaklaşım, mühendislik ve güvenlik ekiplerinin döngülerini boşa harcamaya devam edebilir çünkü çalışma zamanında asla yüklenmeyen ve istismar edilemeyen güvenlik açıklarını kovalıyor olabilirler. Kuruluşunuz için gerçek güvenlik riskini bilmek amacıyla çalışan uygulamalara ve altyapıya gerçekte hangi paketlerin yüklendiğini doğrulamak için çalışma zamanı zekasını kullanın.
biz yarattık ürüne özel rehberlik müşterileri son OpenSSL çılgınlığında yönlendirmek için.
En son OpenSSL güvenlik açığı ve Log4Shell, bize siber güvenlik hazırlığı ve etkili güvenlik stratejisi ihtiyacını hatırlatıyor. CVE-ID’lerin yalnızca genel yazılım veya donanımdaki bilinen sorunlar olduğunu hatırlamalıyız. Pek çok güvenlik açığı, özellikle de yerel koddaki zayıflıklar veya çevresel yanlış yapılandırmalar bildirilmez. Siber güvenlik stratejiniz, modern tasarımların dağıtılmış ve çeşitli teknolojilerini hesaba katmalıdır. Mühendislik ekipleri için iyileştirme çalışmalarına öncelik vermek üzere çalışma zamanı içgörülerini kullanan modernleştirilmiş bir güvenlik açığı yönetimi programına ihtiyacınız var. Sürprizlerden kaçınmak için ortamlar arasında sinyalleri ilişkilendiren tehdit algılama ve yanıt verme yeteneklerine de ihtiyacınız var.
yazar hakkında
Sysdig’de Siber Güvenlik Stratejisi Direktörü Michael Isbitski, beş yılı aşkın bir süredir siber güvenlik konusunda araştırma yapıyor ve tavsiyelerde bulunuyor. Bulut güvenliği, kapsayıcı güvenliği, Kubernetes güvenliği, API güvenliği, güvenlik testi, mobil güvenlik, uygulama koruması ve güvenli sürekli teslimat konularında uzmandır. Dünya çapında sayısız kuruluşa güvenlik girişimlerinde rehberlik etti ve işlerini destekledi.
Araştırma ve danışmanlık deneyiminden önce Mike, uygulama güvenliği, güvenlik açığı yönetimi, kurumsal mimari ve sistem mühendisliğine odaklanan 20 yılı aşkın uygulamacı ve liderlik deneyimiyle BT’nin ön saflarında birçok zor ders aldı.