YORUM
Son yayın “Yapı Taşlarına Geri DönBeyaz Saray Ulusal Siber Direktör Ofisi (ONCD) tarafından hazırlanan “Güvenli ve Ölçülebilir Yazılıma Doğru Bir Yol: Güvenli ve Ölçülebilir Yazılıma Doğru Bir Yol”, Ulusal Siber Güvenlik Stratejisi Mart 2023’te yayınlandı. Strateji, siber güvenlik sorumluluğunun çok daha büyük bir kısmını yazılım satıcılarına, hizmet sağlayıcılara ve yazılım uygulamaları geliştiren diğer kuruluşlara devretmeyi amaçlıyor. Bu son rapor, agresif bir değişimi vurgulayarak daha spesifik bir yön sağlıyor. hafıza açısından güvenli programlama dilleri yazılım geliştirme uygulamaları ile.
Bellek Güvenliği Zorunluluğu
Geleneksel programlama dilleri sıklıkla yazılım geliştirmenin zayıf halkasıdır ve bellek güvenliği açıkları önemli olaylara yol açar. Kapsamlı kod incelemelerine ve diğer güvenlik önlemlerine rağmen bu güvenlik açıkları devam ediyor ve bu dillerdeki güvenlik sorunlarının %70’ine kadarını oluşturuyor. Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) yol haritasında tavsiye edildiği gibi, bellek açısından güvenli programlama dillerine doğru bir geçiş, tasarım gereği güvenli yazılım geliştirmeye yönelik kritik bir adımdır.
Eski Sistem Karmaşıklıklarında Gezinme
Bu stratejik değişimdeki en zorlu zorluklardan biri, C ve C++’da geliştirilen eski sistemleri ele almaktır. Bu eski sistemler yalnızca çok sayıda olmakla kalmıyor, aynı zamanda birçok kuruluşun operasyonları açısından da kritik önem taşıyor. Bu sistemleri modern, bellek açısından güvenli dillerde yeniden yazmak pahalı ve karmaşık olabilir, bu da kritik iş süreçlerinin aksamasına neden olabilir.
Ayrıca bellek güvenliği açıkları öncelikle işletim sistemi düzeyinde gözlemleniyor ve Microsoft ve Linux gibi önemli platformları etkiliyor. Sorunların uygulama düzeyinden ziyade çalışma zamanı düzeyinde bu şekilde sınıflandırılması, siber güvenlikteki daha geniş zorlukların altını çiziyor: Gelişmiş güvenlik önlemlerinin alınması, özellikle yerleşik sistemler için bu değişikliklerin uygulanmasının pratikliği ve maliyetleriyle dengelenmelidir.
Ekonomik ve Teknik Hususlar
Birçok kuruluş, eski sistemlerin elden geçirilmesiyle ilgili büyük maliyetlerle karşı karşıyadır. Kodlama protokollerini değiştirmek yalnızca teknik bir karar değil, aynı zamanda geleceğin dijital altyapısının güvenliğini sağlamak için stratejik bir karardır. Sonuç olarak, geçişin ne zaman gerçekleştirileceğini düşünen karar vericilerin, anlık mali ve operasyonel etkiler ile uzun vadeli faydaları değerlendirmesi gerekir.
Neyse ki, daha güvenli koda geçişin maliyetini ve kesintilerini azaltabilecek teknolojik yenilikler zaten geliştirildi. Örneğin, kod analiz araçları eski uygulamaları analiz edebilir ve C veya Python kodunun uygun izolasyon olmadan çalıştığı örnekleri yarı otonom olarak belirleyebilir. Derleyici teknolojisindeki son gelişmeler sayesinde, en kötü durumdaki güvenli olmayan kodlama uygulamaları bile daha eski bir dilde yazıldığında korunabilir. Bu gelişmeler, her büyüklükteki kuruluş için güvenli kodlama uygulamalarının benimsenmesinin önündeki engelleri önemli ölçüde azaltacaktır.
Güvenli Bir Geleceğe Yönelik İşbirlikçi Bir Çaba
Politika yapıcılar ve satıcılar, güvenliği artırma ile temel yazılım hizmetlerinin sürdürülmesini dengelemek için yakın işbirliği yapmalıdır. ONCD tarafından önerildiği gibi, hafıza açısından güvenli programlama dillerini benimsemek bu yolculukta çok önemli bir adımdır ve kolektif siber güvenliğimizi geliştirmenin ayrılmaz bir parçasıdır.
Pek çok sektör lideri, hafıza açısından güvenli dillere şimdiden önemli yatırımlar yaptı. Örnekler şunları içerir:
-
Mozilla’nın Rust programlama dili: Bellek güvenliğine verdiği önemle Rust, güvenlik ve performansı birleştiren geleneksel programlama dillerine sağlam bir alternatif sunuyor.
-
Microsoft’un Rust’a yaptığı yatırım: Eski dillerin sınırlamaları olduğunun bilincinde olan Microsoft, Rust’u benimsedi ve onu bellek güvenliğinin önemli olduğu birçok yeni projede kullandı.
-
Google’ın bellek güvenliği çalışmaları: Google, bellek güvenliği açıklarını bulmak ve azaltmak için önemli miktarda kaynak yatırdı ve yeni gelişmelerde bellek açısından güvenli dillerin kullanılması çağrısında bulundu. Geçen hafta Google, tasarım gereği güvenlik stratejisini savunan “Tasarım Yoluyla Güvenlik: Google’ın Bellek Güvenliğine Bakış Açısı” başlıklı yeni bir araştırma raporu yayınladı. Rapor, güçlü bellek güvenliği özelliklerine sahip dillerin benimsenmesine odaklanıyor ve bu standartları karşılayacak şekilde gelişen C++’ın sınırlamalarını kabul ediyor.
İleriye Doğru: ONCD Tavsiyelerini Karşılamak İçin Pratik Adımlar
En son ONCD raporundaki yol zorludur ancak fırsatlar açısından zengindir. Aşağıdakiler de dahil olmak üzere, yazılım geliştirme ve siber güvenlik ekosistemlerindeki tüm aktörlerin pratik adımlar atmasını gerektirir:
-
Eğitim ve öğretim: Kuruluşlar, ekiplerine bellek açısından güvenli diller ve güvenli geliştirme uygulamaları hakkında eğitim vermeli ve geliştiricilerin gerekli değişiklikleri yapabilmesini sağlamalıdır.
-
Kademeli geçiş planları: Kuruluşlar, eski sistemleri bellek açısından güvenli ve yönetilebilir dillere geçirmek için planlar oluşturmalıdır. Operasyonel aksamayı en aza indirmek için öncelikle en kritik alanları ele almalı ve projeyi yavaş yavaş aşamalandırmalıdırlar.
-
Otomasyon araçlarından yararlanma: Kuruluşlar, manuel süreçlerin yükünü azaltırken güvenli olmayan kod uygulamalarını otomatik olarak bulup düzelten modern kod analiz araçlarını ve derleyicileri kullanmalıdır.
-
Politika ve yönetişim: Kuruluşların, yazılım geliştirme yaşam döngüsü boyunca bellek güvenliğini ve güvenli geliştirme uygulamalarını dikkate alan açık yönetişim yapıları geliştirmesi gerekir.
-
Topluluk ve işbirliği: Daha da önemlisi kuruluşlar, bu yolculuğun beraberinde getirdiği bellek güvenliğiyle ilgili bilgileri, zorlukları ve çözümleri paylaşmak için forumlar, ortaklıklar ve açık kaynak projeleri aracılığıyla kendi duvarlarının dışına ve daha geniş teknoloji topluluğuna ulaşmalıdır.
İyileştirme uygulamalarda güvenlik Dijital ekonomiyi yönlendiren büyük ve karmaşık ancak kamu ve özel sektör arasında sürekli işbirliği gerektiren gerekli bir girişimdir. ONCD’nin en son raporu stratejinin ifade edilmesinde bir sonraki sağlam adımdır; ancak vizyonu gerçekleştirmek için daha fazla iradeye ihtiyaç vardır. Yeni uygulamalar için bellek korumalı kodlama dillerine geçiş yapmak ve eski kodları güncellemek çok büyük zorluklardır. Bununla birlikte, yazılım analizi ve derleyici teknolojilerindeki son gelişmeler ve birçok küresel teknoloji liderinin gösterdiği taahhütler sayesinde ilerleme kaydedilmektedir.