Bu hafta 2024’teki RSA Konferansında, marka isimleri Microsoft, Amazon Web Service (AWS), International Business Machines (IBM), Fortinet ve daha fazlası gibi adımlar atmayı kabul etti ABD’nin önde gelen siber otoritesi tarafından tanımlanan yedi hedefe ulaşmaya yönelik.
Anlaşma isteğe bağlıdır, yasal olarak bağlayıcı değildir, yatıştırıcıdır ve bir şirketin ürün veya hizmetlerinin tümüne veya yalnızca birine esnek bir şekilde uygulanabilir. Yine de imzacılar, bunun sektörler arası iyi güvenlik uygulamalarını ve yatırımları teşvik etme yönünde ilerlemeye yardımcı olabileceğini söylüyor.
İmzacılardan biri olan Claroty’nin CPO’su Grant Geyer, “Bunun zamanın ruhunu temsil ettiğini düşünüyorum” diyor. “Bu, çoğumuzun belirli bir standartta çalışacağımız konusunda hemfikir olması, diğerlerinin de aynı şeyi yapmasını daha rahat ve açık hale getiriyor.”
Diş Yok, Sorun Yok
CISA’nın Güvenli Tasarım taahhüdü, yedi ana kategoriye ayrılmış iyileştirme alanlarından oluşur: çok faktörlü kimlik doğrulama (MFA), varsayılan şifreler, tüm güvenlik açığı sınıflarının azaltılması, güvenlik yamaları, güvenlik açığı açıklama politikası, CVE’ler ve izinsiz girişlerin kanıtı.
Taahhüt devrimci hiçbir şey içermiyor ve hiçbir şekilde dişleri yok. Ancak olaya dahil olanlar için bunların hepsi konu dışı.
Başka bir imzacı olan Huntress’in tehdit operasyonları kıdemli direktörü Chris Henderson, “Doğrudan yetkiye sahip olmasalar da, beklentinin ne olduğunu tanımlamaya başlayarak dolaylı bir yetkinin olduğunu düşünüyorum” diyor.
Örneğin şöyle diyor: “Özel alanda, ürünleri içindeki güvenlik araçlarını kullanarak vurgunculuk yapan şirketler var. Pek çok şirketin gelirlerini artırmanın kolay bir yolu olarak görüldüğü için ödeme duvarlarının arkasına güvenlik özellikleri eklediğini görüyorsunuz. Gerçekte , bu özelliklerin birçoğunun sağlanması aslında herhangi bir ekstra paraya mal olmuyor,” diye ekliyor Henderson.
Taahhüdün, kamu-özel sektör ortaklıklarını yeni düzenlemeler olmadan ilerletmeye yönelik yeni bir yaklaşım olabileceğini düşünüyor.
Henderson, “Tasarım Yoluyla Güvenlilik taahhüdünün, düzenlemeyi değil, beklentiyi ‘makul’ olarak değiştirmeyi amaçlayan, özel sektör ve hükümet ortaklığı yoluyla gerçekten ilginç bir yaklaşım olduğunu düşünüyorum.” diyor. “Çok faktörlü kimlik doğrulama (MFA) veya tek oturum açma (SSO) sunan bir ürünseniz, ancak bu ürün bir ödeme duvarının arkasındaysa ve müşterilerinizden biri bunun için ödeme yapmadığı için saldırıya uğrarsa, o halde, şimdi ihmalkar mısın?”
Henderson gibi, Qualys’in CISO’su (aynı zamanda imza sahibi olan) Jonathan Trull da taahhüdün etkilerinin öncelikle ekonomik nitelikte olacağını öngörüyor. Trull, “Ticari sektörde iki (teşvik) mekanizmanız var. Halka açık şirketler için bağlayıcı ve SEC tarafından uygulanabilir olan bir uyumluluğunuz var” diye açıklıyor. “Ve sonra daha güçlü olanı (biri) var: Dolar nereye akacak?”
Trull, umudunun bu temel güvenlik ilkelerinin teknoloji alıcılarını etkilemeye başlaması olduğunu ekliyor.
“Alıcıların durup şöyle demesini umuyorum: ‘Hey, neden buna kaydolmadın? Gönüllü olsa bile'” diyor.
Sadece Güvenlik Açıklarının Ötesine Uzaklaşmak
Şirketler konuyu nasıl ele alırsa alsın, Claroty’s Geyer’e göre bu taahhüt, bazı temel güvenlik sorunları etrafındaki tartışmayı nasıl yeniden çerçevelendireceği açısından tek başına önemlidir.
Örneğin, güvenlik açığı yönetimi var. Organizasyonlar biliyor bireysel hatalar ortaya çıktıklarında yama yapın ancak CISA’nın raporunda belirttiği gibi, “Bugün istismar edilen güvenlik açıklarının büyük çoğunluğu, genellikle geniş ölçekte önlenebilen güvenlik açığı sınıflarından kaynaklanmaktadır.”
İçinde son analiz Claroty’nin Ekibi82, 20 milyondan fazla varlıktan oluşan tüm endüstriyel OT ve bağlı tıbbi cihazların (IoMT) sırasıyla %22 ve %23’ünün, kritik dereceli CVSS puanları 9,0 veya daha yüksek olan güvenlik açıklarına sahip olduğunu buldu. Ancak endüstriyel OT ve IoMT cihazlarının yalnızca %1,3 ve %1,9’unun, bilinen en az bir yararlanılabilir güvenlik açığı içerdiği ve güvenli bir erişim çözümü yerine doğrudan Web ile iletişim kurduğu tespit edildi.
Geyer, “Yani geleneksel yaklaşımı benimserseniz varlıklarınızın %23’üne yama yapmanız gerekir” diyor. “Bu sadece çok büyük bir rakam değil, aynı zamanda riskin ne olduğunu genişlettiğinizde (yalnızca bir güvenlik açığından varsayılan şifreler, açık metin, iletişim ve bu taahhüt kapsamındaki şeylere kadar) varlıklarınızın yalnızca %1,3’üne odaklanmanız gerekiyor.”
Geyer, “Eğer %23’ün tamamını yakalama yaklaşımını benimserseniz, varsayılan kimlik bilgileri gibi en yüksek risklerin %43’ünü kaçırmış olursunuz” diye ekliyor. “Dolayısıyla, CISA’nın yalnızca güvenlik açıklarına odaklanmak yerine daha geniş bir risk bakış açısına sahip olması son derece önemli. Bu, geleneksel bilgeliktir ve geleneksel bilgelik, hem çaba hem de etki açısından yanlış yönlendirilmiştir.”