Biden yönetimi, ABD bilgi teknolojisi altyapısını güçlendirmek için daha yakın kamu-özel sektör ortaklıkları için baskı yapmaya devam ediyor, şirketlere hafıza açısından güvenli programlama dillerine geçme çağrısında bulunuyor ve teknik ve akademik topluluklara yazılım güvenliğini ölçmenin daha iyi yollarını yaratma çağrısında bulunuyor.
Bu hafta, Beyaz Saray Ulusal Siber Direktör Ofisi (ONCD), geliştiriciler ve mühendisler için yazılmış bir rapor yayınladı; bu rapor, ülkenin siber uzayı savunmak için yeni bir sorumluluklar dengesi oluşturması ve şirketlerin siber güvenliğine yatırım yapmaları için daha iyi teşvikler yaratması gerektiğini savundu. onların ürünleri.
ONCD, ilk adım olarak teknoloji üreticilerine çağrıda bulundu: Bellek açısından güvenli programlama dillerine geçiş Python, Java ve Rust gibi güvenlik açıklarının %70’ini ortadan kaldırabilen ve ürünlerinin güvenliğini ölçmenin daha iyi yollarını geliştirebilen.
Ulusal Siber Direktör Harry Coker, bir video açıklamasında, mevcut ekosistemin, kritik altyapı ve sistemleri saldırganlara karşı güvence altına almak için gereken maliyetleri karşılayamayan insanlara çok fazla yük getirdiğini söyledi.
“Bugün, ister bireyler, ister küçük işletmeler, ister kritik altyapı sahipleri ve operatörleri olsun, teknolojinin son kullanıcıları, ulusumuzu güvende tutma sorumluluğunun büyük bir kısmını üstleniyorlar” dedi. “Birkaç tuş vuruşuyla çökebilecek bir sistemin daha iyi yapı taşlarına ve daha güçlü bir temele ihtiyacı var. Siber uzayı savunmak için en yetenekli ve en iyi konumda olanlardan daha fazlasını beklemeliyiz; buna federal hükümet de dahildir.”
Siber Güvenliğe Eğilim
Biden yönetimi, büyük çoğunluğu özel sektöre ait olan ülkenin altyapısının siber güvenliğini artırma çabalarına yöneldi. Bir yıl önce yönetim Ulusal Siber Güvenlik Stratejisini yayınladı kritik altyapı sektörü için yazılım sorumluluğu ve minimum siber güvenlik gereksinimleri çağrısında bulunuyor. Yönetim aynı zamanda yazılım üreticileri ve açık kaynak geliştirme topluluğuyla diyalogu sürdürdü yazılım güvenliğini ileri taşımak için işbirliği yapmanın daha iyi yollarını bulmak.
En son rapor, Yapı Taşlarına Dönüş: Güvenli ve Ölçülebilir Yazılıma Doğru Bir Pathükümetin yazılım güvenliğini denetlemede uzun vadeli bir rol gördüğünü gösteriyor.
Siber güvenlik eğitimi ve sertifikasyon grubu ISC2’nin CEO’su Clar Rosso, çabaların büyük olasılıkla pek çok özel sektör kuruluşunu bellek açısından güvenli dillere ve C, C++ ve makine kodundan uzaklaşmaya ikna etme konusunda işe yarayacağını söylüyor.
“Siber güvenliğe tepkisel yaklaşımdan uzaklaşabilir ve sola kaymanın arkasında ortak bir çaba gösterebilirsek kuruluşlar daha güvenli hale gelecektir” diyor. “Ancak bunların hiçbiri kamu ve özel sektör arasındaki işbirliği olmadan mümkün olmayacak; eğer güvenli ve ölçülebilir yazılıma doğru bir yol çizeceksek kolektif eyleme ihtiyacımız var.”
Her Hızda Güvensiz
Bellek güvenliği, programların beklenen sınırların dışında belleğe erişmeye çalışmasını ve bellekleri program tarafından serbest bırakıldıktan sonra değişkenlere erişmesini engelleyen, modern programlama dillerinin bir dizi özelliğidir. Bellek korumalı programlama dilleri, yazılıma mekansal ve zamansal sınırlamalar getirerek, 2003’teki Slammer solucanı ve 2014’teki Heartbleed güvenlik açığı gibi daha önce büyük siber olaylara yol açmış olan tüm güvenlik açığı sınıflarını ortadan kaldırabilir.
ONCD’de teknoloji güvenliğinden sorumlu ulusal siber direktör yardımcısı Anjana Rajan, bir video açıklamasında, önemli güvenlik açıklarının sayısının azaltılmasının, son kullanıcıların siber dayanıklılığın diğer yönlerine odaklanmasına olanak tanıyarak yardımcı olabileceğini söyledi.
“Mevcut statükonun gerektirdiği yoğun tepkisel duruş, [end users’] bir sonraki saldırı dalgasını tahmin etme ve ona hazırlanma yeteneği” dedi. “Amerika’nın rakiplerini geride bırakmak için savunulabilir ve dirençli bir ekosistem inşa etmeliyiz. Bu, gelecekteki saldırıları önlemek, hafifletmek ve bunlara karşı savunma yapmak için çabalarımızın siber savaş alanını nasıl şekillendireceğimize odaklanması gerektiği anlamına geliyor.”
Güvenlik çözümleri yöneticisi Mike McGuire, açık kaynak ekosisteminin bellek güvenliği olmayan dillerden çoktan uzaklaştığını, projelerin çoğunun – modern sürümler varsayıldığında – bellek güvenliği özelliklerine sahip olan JavaScript, Python, Typescript ve Java ile yazıldığını söylüyor. Synopsys ile.
“Açık kaynak dünyasında, C ve C++ ile bulacağınızdan çok daha fazla Java açık kaynak kitaplığı, çok daha fazla Python açık kaynak kitaplığı bulacaksınız” diyor. “Bunun nedeni sektörün C ve C++’dan uzaklaşması değil – bunlar çok güçlü diller – ancak açık kaynağa daha fazla katkıda bulunacaklarsa, onların hafıza açısından güvenli dillerle katkıda bulunmalarını istiyorsunuz.”
AB’nin Güvenlik Ölçütleri Konusunda Yanlış Adımlarından Kaçınmak
Belki de ikinci yarı daha da zor olacak. Biden yönetiminin girişimi: Yazılımlara uygulanabilecek güvenlik metriklerinin oluşturulması.
ISC2’den Rosso, yazılım için anında güvenlik puanı veren otomatik bir sistemin kulağa hoş gelse de araştırma çabalarının önemli engellerle karşılaşacağını söylüyor.
“Bir ürünü ‘güvenli’ olarak kabul etmek için bir algoritma veya denklem çalıştırma fikri, sürekli gelişen tehdit manzarası nedeniyle zorlayıcı göründüğünden, bu öneriyle ilgili bazı çekincelerim var” diyor. “[O]Kuruluşların siber güvenlik risklerine bütünsel bir bakış açısına sahip olmalarını sağlayacak ürün ve hizmetlerden mutlaka faydalanmaları gerektiğini, [but] … yazılımın kalitesinin iyi veya kötü olduğunu belirlemek için kullanılabilecek standartlaştırılmış ölçümler oluşturmak zorlayıcı olacaktır.”
Geçtiğimiz yıl Avrupa Birliği eleştiriyle karşılaştı 24 saatlik güvenlik açığı açıklama kuralının şirketlere sorunları düzeltmek için yeterli zaman bırakmayacağı ve daha fazla değil, daha az güvenli yazılıma yol açabileceği korkusu üzerine Siber Dayanıklılık Yasası’nı (CRA) kabul ettikten sonra.
Synopsys’ten McGuire, özellikle açık kaynak ekosistemiyle uğraşırken yasa koyucuların ve hükümet yetkililerinin politikaları uygulamadan önce dikkatlice düşünmesi gerektiğini söylüyor.
“Açık kaynak bakımcılarının bunu genellikle boş zamanlarında kendi paralarıyla yaptıklarını unutmamalıyız; bunu yapıyorlar çünkü yapılacak doğru şey bu” diyor. “Gelip ekstra gereksinimlere sahip olmaları veya ekstra ölçümler sağlamaları veya ekstra ölçümler toplamaları gerektiğini söylemek – bence bu, bizim için mevcut olan açık kaynağa ciddi bir darbe olacaktır. Bu açık kaynak … görmemizin nedeni bu [the] bugün yaptığımız gelişme hızı.”