YORUM
2020 yılında SolarWinds olayı bir uyandırma çağrısı işlevi gördü teknoloji sektörü için, kuruluşların kritik CVE’lere (yaygın güvenlik açıkları ve risklere maruz kalmalar) ve güvenlik olaylarına karşı müdahale stratejilerini iyileştirmelerinin acil ihtiyacını vurguluyor. Bu durum birçok şirketi operasyonel çerçevelerini, özellikle de açık kaynak tedarik zincirlerinin şeffaflığını ve güvenliğini incelemeye yöneltti. Kuruluşlar, süreçlerindeki boşlukları doldurmanın ve geliştiricileri güvenli geliştirme uygulamaları bilgisiyle güçlendirmenin kritik ihtiyacını fark etti ve geliştiricilere bu konuda nasıl rehberlik edeceklerini bulmaya başladı. güvenli açık kaynak bileşenlerini kullanma.
SolarWinds tedarik zinciri saldırısının ardından 2021’de Log4j olayı Bu, yaygın olarak kullanılan Java tabanlı bir günlük kaydı aracı olan Log4j günlük kitaplığındaki bir güvenlik açığını içeriyordu. Sektörü sarsan son olay ise şu oldu: XZ Utils’in arka kapısı bu da bir başka geniş ölçekli açık kaynak tedarik zinciri saldırısına dönüşebilirdi. Teknik ve sosyal mühendislik karmaşıklığının bir karışımı, dünyaya bulaşmaya çok yakındı.
İstismar edilen güvenlik açıklarının mali etkisi kuruluşlar için yıkıcı olabilir. Temmuz 2021’de, Kaseya’nın VSA’sını hedef alan bir fidye yazılımı saldırısıBilgisayarları ve ağları yönetmek ve izlemek için yönetilen hizmet sağlayıcılar (MSP’ler) tarafından kullanılan popüler bir BT yönetim yazılımıdır. Saldırganlar Kaseya’nın yazılımındaki bir güvenlik açığından yararlanarak REvil fidye yazılımını dağıtın Kaseya’nın müşteri tabanı genelinde MSP’leri ve müşterilerini etkiliyor. Saldırganlar 70 milyon dolar fidye talep etti.
Küçük İşletmeler de Tehlikeyle Karşı Karşıya
Yalnızca büyük kuruluşlar CVE’lerden (tek bir güvenlik açığını tanımlayan benzersiz bir tanımlayıcı) yararlanılmaya karşı savunmasız olmakla kalmıyor, aynı zamanda küçük işletmeler de sıklıkla hedef tahtasında yer alıyor. A Accenture’dan siber suç araştırması Siber saldırıların yüzde 40’ından fazlasının küçük işletmelere karşı gerçekleştiğini ortaya çıkardı. Fakat, Küçük işletmelerin yalnızca %14’ü hazırlıklı kendilerini savunmak için.
Açık kaynaklı projeler, geliştiriciler için inanılmaz derecede faydalıdır çünkü yeni yazılımlara kolayca entegre edilebilen, zamandan ve kaynaklardan tasarruf sağlayan hazır çözümler sunarlar. Ancak bu rahatlığın bir dezavantajı var. Bazen bu açık kaynak bileşenleri güncelliğini kaybetmiş olabilir, artık bakımı yapılmamaktadır veya güvenliğe yeterince önem verilmemektedir. Kuruluşlar, yeni güvenlik açıklarına yanıt verme stratejisinin yanı sıra uygulama içinde nasıl kullanıldığına da sahip olmadıkları için daha da engelleniyor. Bununla birlikte, upstream’in çoğunluğu, düzeltmeleri ve güncellemeleri zamanında yayınlama konusunda iyi bir iş çıkarıyor. Sorun şu ki, sabit sürümler mevcut olsa da, alt tüketiciler yine de bilinen güvenlik açığı bulunan sürümleri indirip kullanmaya devam ediyor.
Geliştiriciler belirli projeleri yazılımlarına entegre ettiklerinde, genellikle geçişli bağımlılıklar yoluyla, istemeden de olsa siber suçluların yararlanabileceği güvenlik açıkları ortaya çıkarabilirler. Kullanılması amaçlanan birincil yazılım güvenli olsa da, dağıtımcı tarafından bilinmeyen temel kitaplıklar ve bileşenler risk oluşturabilir. Bu senaryo, yazılımlarının bağlı olduğu savunmasız bileşenlerin farkında olmayabileceği veya potansiyel istismarlara karşı hızlı ve etkili bir yanıt planına sahip olamayabileceği için kuruluşları saldırılara açık hale getirir.
Kapsamlı Varlık Envanterleri Oluşturmak
Açık kaynaklı yazılımlarda CVE’lere etkili bir şekilde yanıt verebilmek için kuruluşların kapsamlı bir varlık envanteri oluşturmaya öncelik vermesi gerekir. Ek olarak, üreten yazılım malzeme listeleri (SBOM’lar) yazılım bileşeni envanter bilgilerinin tüketilmesi için standartlaştırılmış bir format sağladıklarından ve SBOM’lar tüm sorunu çözecek sihirli bir değnek olmadığından uygulamalar için zorunludur. SBOM’lar için formatların ve içeriklerin gerçek uygulaması da büyük ölçüde farklılık gösterir. Açık kaynak bileşenleri sıklıkla ticari üçüncü taraf yazılımlarda da bulunabilir. Aslında “2024 Açık Kaynak Güvenlik ve Risk Analizi RaporuSynopsys’ten “analiz edilen kod tabanlarının neredeyse tamamının (%96) açık kaynak bileşenleri içerdiğini ortaya çıkardı.
Üçüncü taraf satıcılarla çalışan kuruluşlar, sözleşme görüşmelerinin bir parçası olarak onlardan yazılım ürünleri için SBOM’lar sağlamalarını talep etmelidir. Bu, kuruluşların üçüncü taraf yazılımlarındaki herhangi bir güvenlik açığı hakkında bilgi sahibi olmasına ve satıcıların güvenlik açıklarını giderme konusunda sorumlu kalmasına yardımcı olacaktır. Kritik varlıklarınızın ve bunların bir parçası olan açık kaynak bileşenlerinin nerede olduğunu bilmek, kritik bir CVE’ye yanıt verme zamanı geldiğinde etkili bir önceliklendirme sürecine olanak tanır.
Yazılım kompozisyon analizi (SCA) araçlarından yararlanmak, SBOM’ların verimli bir şekilde oluşturulmasına ve bu bileşenlerle ilişkili bilinen CVE’lerin tespit edilmesine yardımcı olabilir. Dünya Çapında Açık Uygulama Güvenliği Projesi’ne (OWASP) göre, bileşen analizi üçüncü taraf ve açık kaynaklı yazılım ve donanım bileşenlerinin kullanımından kaynaklanan potansiyel risk alanlarının belirlenmesi sürecidir.
Bu araçlar, yazılım bileşenlerinin ve bunların karşılıklı bağımlılıklarının kapsamlı envanterlerini otomatik olarak oluşturarak verimliliği artırır. Güncelliğini yitirmiş bileşenleri tanımlayan ve ilişkili bilinen CVE’leri tespit eden taramalar gerçekleştirirler. Bununla birlikte, bu bileşenlerin adlandırılması ve sürümlendirilmesi için evrensel olarak kabul edilmiş standartların bulunmaması nedeniyle, tarayıcı satıcıları genellikle yazılımı doğru şekilde tanımlama konusunda zorluklarla karşı karşıya kalır ve bu da yüksek oranda hatalı pozitif sonuçla sonuçlanır.
Bu sorun, sonuçların doğrulanması konusunda işletmelere önemli bir operasyonel yük getirmektedir. Ayrıca, maliyetleri ve genel giderleri yönetmek için bu tarama araçları genellikle Ulusal Standartlar ve Teknoloji Enstitüsü’nün Ulusal Güvenlik Açığı Veri Tabanına (NVD) bağımlıdır; bu veritabanı da veri kalitesi ve güncellemelerin zamanında olması konusunda sorun yaşamaktadır.
Ek olarak tarayıcılar, doğru CVE verilerini sağlamada sıklıkla günler, haftalar ve hatta aylar süren gecikmelerle karşılaşır. Kuruluşların bu taramaları açık kaynak yazılım bileşenlerini içeren tüm uygulamalarda rutin ve otomatik olarak çalışacak şekilde ayarlaması çok önemlidir. Bazı araçlar, güvenlik ekiplerinin ve geliştiricilerin düzeltilmesi gereken güvenlik bulguları birikimine öncelik vermelerine yardımcı olmak için uygulamaları çalışma zamanında gözlemleme ve uygulama tarafından gerçekte hangi kitaplıkların kullanıldığını tespit etme yeteneği sunar. OWASP bir liste hazırladı Ücretsiz, açık kaynak ve ticari lisanslı araçlar.
Desteğe ihtiyaç var
Uygulamalara sahip olan ve onları destekleyen geliştirme ekiplerinin desteği olmadan güvenlik açıklarının giderilmesi mümkün değildir. Güvenlik konularına odaklanan geliştirici eğitimleri oluşturmak ve güvenlik farkındalığını ve en iyi uygulamaları teşvik etmek için odak noktası olabilecek güvenlik şampiyonlarına sahip olmak çok önemlidir. Geliştiricilerin kritik CVE’lere yanıt vermesi için net bir süreç oluşturmak, Log4j CVE’ler gibi başka bir olay karşısında hızlı ve koordineli bir yanıt verebilmek için çok önemlidir.
Ayrıca, bir güvenlik açığını bir kuruluş için “Kritik” olarak kabul etmeden önce etkiyi analiz edecek bir sürece sahip olmak önemlidir. Bildirilen bir güvenlik açığının bir olaya dönüştüğü zamanı özel olarak tanımlayan kritik CVE’ler için yükseltme yollarını tanımlayın ve kuruluş üzerindeki operasyonel etkiyi en aza indirmek için tüm doğru olay yönetimi süreçlerinin takip edilmesini sağlayın.