Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), yazılım tedarik zinciri riskini ele almak için siber güvenlik kılavuzunu güncelleyerek çeşitli paydaşlar için uyarlanmış önerilen güvenlik kontrolleri setleri sunuyor.
SolarWinds ve Log4Shell olayları BT güvenlik topluluğu üzerinde şok dalgaları gönderdiğinden, yazılım tedarik zinciri saldırıları, geçen yıl kurumsal endişe listesinin en üstüne fırladı. Güvenlik uygulayıcıları, binlerce uygulamanın yapı taşlarını oluşturan açık kaynak bileşenlerinin ve üçüncü taraf kitaplıklarının güvenliği konusunda giderek daha fazla endişe duymaktadır. Endişenin bir başka nedeni de, siber suçluların yönetilen bir uygulamanın güvenliğini ihlal ettiği geçen yıl Kaseya saldırısında veya kötü amaçlı yazılım dağıtmak için bir güncelleme mekanizmasını hackledikleri SolarWinds’te olduğu gibi, platformların çeşitli şekillerde kötüye kullanılmasıdır.
NIST’ler son yayın (PDF), siber güvenlik uzmanları, risk yöneticileri, sistem mühendisleri ve satın alma yetkilileri gibi profiller için özel risk yönetimi kılavuzu sunar. Her profil, yazılım tedarik zincirine dokunmak için güvenli uzaktan erişim mekanizmaları uygulamak veya en az ayrıcalık ilkesini yürürlüğe koymak veya tüm yazılım tedarikçileri ve ürünlerinin envanterini çıkarmak gibi bir dizi önerilen kontrolle eşleşir.
NIST yayın yazarı Jon Boyens, “Tedarik zincirinin siber güvenliğini yönetmek, kalıcı bir ihtiyaçtır” dedi. perşembe duyurusu. “Ajansınız veya kuruluşunuz buna başlamadıysa, bu, sizi emeklemeden yürümeye ve koşmaya götürebilecek kapsamlı bir araçtır ve bunu hemen yapmanıza yardımcı olabilir.”
Gelişme, geçen yıl Başkan Biden tarafından yayınlanan ve devlet kurumlarını “kritik yazılımları ele almaya öncelik vererek yazılım tedarik zincirinin güvenliğini ve bütünlüğünü iyileştirmeye” yönlendiren bir Yürütme Kararından kaynaklanmaktadır.