BT’de her zaman yeni özelliklerin ve işlevlerin gönderilmesi ile güvenilirlik, performans, test etme ve evet, güvenlik gibi şeyleri içeren teknik borcun ödenmesi arasında bir ödünleşim olmuştur.
Bu “hızlı gemi ve işleri boz” çağında, menkul kıymet borcu biriktirmek, kuruluşların gönüllü olarak verdiği bir karardır. Her kuruluşun, güvenlik yamalarını dağıtmak ve programlama dilleri ve çerçevelerinin en yeni, en kararlı sürümlerini çalıştırmak gibi “bir gün” için Jira biriktirme listelerinde doldurulmuş güvenlik görevleri vardır. Doğru olanı yapmak zaman alır ve ekipler yeni özelliklere öncelik verdikleri için bu görevleri isteyerek ertelerler. CISO’nun işinin büyük bir kısmı, güvenlik borçlarının ödenmesi gereken anları tanımaktır.
Log4j istismarını CISO’lar için bu kadar endişe verici kılan şeylerden biri, onların radarında bile olmayan bu birikmiş devasa borcun olduğunun fark edilmesiydi. Açık kaynak projeleri ile yaratıcıların, bakımcıların, paket yöneticilerinin ve bunları kullanan kuruluşların ekosistemleri arasındaki gizli bir güvenlik açıkları sınıfını ortaya çıkardı.
Yazılım tedarik zinciri güvenliği, güvenlik borcu bilançosunda benzersiz bir kalemdir, ancak CISO’lar bunu ödemek için tutarlı bir plan oluşturabilir.
Yeni Bir Güvenlik Açığı Sınıfı
Çoğu şirket, ağ güvenliklerini kilitlemede gerçekten başarılı oldu. Ancak, geliştiricilerin oluşturduğu sistemler ve uygulamaları yazmak için kullandıkları yazılım yapıtlarının bir güven mekanizması veya güvenli gözetim zinciri olmadığı için, mümkün olan bir dizi açıktan yararlanma vardır.
Bugün, sağduyuya sahip herhangi biri, güvenlik riskleri nedeniyle rastgele bir flash sürücüyü alıp bilgisayarlarına takmaması gerektiğini biliyor. Ancak onlarca yıldır geliştiriciler, güvenli olduklarını doğrulamanın hiçbir yolu olmadan açık kaynak paketleri indiriyor.
Kötü aktörler bu saldırı vektöründen yararlanıyorlar çünkü bu yeni düşük asılı meyve. Bu deliklerden erişim sağlayabileceklerini fark ederler ve bir kez içeri girdiklerinde, giriş elde etmek için kullandıkları güvensiz yapı ne olursa olsun bağımlı olan diğer tüm sistemlere dönerler.
Yapı Sistemlerini Kilitleyerek Kazmayı Durdurun
Geliştirici kılavuzu gibi materyallerde desteklenen CISO’lar için temel başlangıç noktası “Yazılım Tedarik Zincirinin Güvenliğini Sağlama,”, NIST’in Güvenli Yazılım Geliştirme Çerçevesi (SSDF) ve OpenSSF’nin Yazılım Eserleri için Tedarik Zinciri Düzeyleri (SLSA) gibi açık kaynak çerçevelerini kullanmaya başlamaktır. Bunlar, tedarik zincirinizi kilitlemek için temel olarak kuralcı adımlardır. SLSA Düzey 1, bir yapı kullanmaktır 2. Düzey, bazı günlükleri ve meta verileri dışa aktarmaktır (böylece daha sonra bazı şeylere bakıp olaya yanıt verebilirsiniz). 3. Düzey, bir dizi en iyi uygulamayı takip etmektir. 4. Düzey, gerçekten güvenli bir yapı sistemi kullanmaktır. Bunları izleyerek İlk adımlarda, CISO’lar, varsayılan olarak güvenli olan bir yazılım tedarik zinciri oluşturmak için güçlü bir temel oluşturabilir.
CISO’lar, geliştirici ekiplerin en başta açık kaynak yazılımları nasıl elde ettiğine ilişkin politikalar hakkında düşündükçe işler daha da incelikli hale geliyor. Geliştiriciler, şirketlerinin “güvenli” kabul edilenlerle ilgili politikalarının ne olduğunu nasıl bilebilirler? Ve (bugünlerde geliştiriciler tarafından kullanılan tüm yazılımların büyük çoğunluğunu oluşturan) elde ettikleri açık kaynağın gerçekten de kurcalanmadığını nereden biliyorlar?
CISO’lar, yapı sistemlerini kilitleyerek ve yazılım yapıtlarını ortama getirmeden önce kaynağının doğrulanması için tekrarlanabilir bir yöntem oluşturarak, kuruluşları için güvenlik borcunda daha derin bir çukur kazmayı etkili bir şekilde durdurabilir.
Eski Yazılım Tedarik Zinciri Güvenlik Borcunu Ödemeye Ne Dersiniz?
Temel görüntülerinizi ve derleme ortamlarınızı kilitleyerek kazmayı bıraktıktan sonra, artık yazılımınızı güncellemeniz ve temel görüntü sürümleri dahil olmak üzere güvenlik açıklarınızı düzeltmeniz gerekiyor.
Yazılımı güncellemek ve CVE’lere yama uygulamak çok zahmetlidir. Sıkıcı, zaman alıcı, bu bir angarya – bu iş. Bu, siber güvenliğin “sebzelerini ye” sidir. Bu borcun ödenmesi, CISO’lar ve geliştirme ekipleri arasında derin bir işbirliği gerektirir. Ayrıca, her iki ekip için de bir kuruluşun yazılım tedarik zincirini varsayılan olarak güvenli hale getirmeye yardımcı olabilecek daha güvenli, üretken araçlar ve süreçler üzerinde anlaşmak için bir fırsattır.
Bazı insanlar değişikliği sevmediği gibi, bazı yazılım ekipleri de konteyner tabanlı görüntülerini güncellemekten hoşlanmaz. Temel görüntü, konteyner tabanlı yazılım uygulamalarının ilk katmanıdır. Bir temel görüntünün yeni bir sürüme güncellenmesi, özellikle yetersiz test kapsamı varsa, bazen yazılım uygulamasını bozabilir. Bu nedenle, bazı yazılım ekipleri statükoyu tercih ediyor ve temelde her gün CVE biriktiren çalışan bir temel görüntü sürümünde süresiz olarak dolaşıyor.
Bu güvenlik açığı birikimini önlemek için yazılım ekipleri, görüntüleri küçük değişikliklerle sık sık güncellemeli ve kanarya sürümleri gibi “üretimde test etme” uygulamalarını kullanmalıdır. Güçlendirilmiş, minimum boyutlu ve yazılım malzeme listeleri (SBOM’ler), kaynak ve imzalar gibi kritik yazılım tedarik zinciri güvenliği meta verileriyle oluşturulmuş kapsayıcı görüntülerin kullanılması, temel görüntülerde günlük güvenlik açığı yönetiminin zaman alan sıkıntısını hafifletmeye yardımcı olabilir . Bu teknikler, güvende kalmak ile üretimin düşmemesini sağlamak arasında doğru dengeyi kurar.
Kullandıkça Ödemeye Başlayın
Menkul kıymet borcunun benzersiz bir şekilde nahoş olan yanı, onu “bir gün” için dosyalamaya devam ettiğinizde, genellikle en savunmasız olduğunuz ve en azından ödemeye gücünüzün yettiği bir zamanda başını kaldırmasıdır. Log4j güvenlik açığı, yoğun tatil e-ticaret döngüsünden hemen önce ortaya çıktı ve birçok mühendislik ve güvenlik ekibini bir sonraki yıla kadar sakat bıraktı. Hiçbir CISO pusuda bekleyen gizli güvenlik sürprizlerine sahip olmak istemez.
Her CISO, geliştiriciler yazılımı ortama getirmeden önce yazılımın kaynağını belirlemek için daha güvenli derleme sistemlerine, yazılım imzalama yöntemlerine ve yazılım ve uygulamaların temelindeki saldırı yüzeyini azaltan sağlamlaştırılmış, minimal kapsayıcı tabanlı görüntülere minimum yatırım yapmalıdır. .
Bu devasa yazılım tedarik zinciri güvenlik borcu ödemesinin daha derinlerinde, CISO’lar, bu borcu ertelemeye ve kabul edilebilir bir güvenlik düzeyine ulaşmaya karşı (temel görüntüleri ve yazılımları güvenlik açıklarıyla sürekli olarak güncelleyerek) geliştiricilerine ne kadar ödetmeye istekli oldukları konusunda bir muammayla karşı karşıyadır. güvenlik açığı.