Yazan: Stephen de Vries, CEO, IriusRisk
2023’te hükümetlerin ve küresel siber güvenlik kurumlarının güvenli tasarım için yapı taşlarını yerleştirmeye ve siber savunmayı yazılım ve sistem satıcılarına götürmeye başladıklarını gördük. ABD, yazılım üreticileri için mevzuat ve rehberlik geliştirme konusunda önemli adımlar attı ve Avrupa genelinde Siber Dayanıklılık Yasası ile tüm donanım ve yazılım ürünlerine yönelik siber güvenlik gereksinimlerinin daha da sıkılaştırıldığını gördük.
Bu yıl eylemle ilgili. 2024 yılında kuruluşların siber tehdide karşı korunmak için yönlendirmelere ve düzenlemelere yanıt vermesi ve yazılım geliştirme ve mimaride tasarım yoluyla güvenliğin uygulanmasını sağlaması gerekiyor.
Siber güvenlik profesyonellerinin güvenliği tasarım yoluyla nasıl uygulayacaklarını ve üstesinden gelmeleri gerekebilecek bazı kurumsal zorluklara nasıl yaklaşacaklarını anlamaları hayati önem taşıyor. Ancak işletmelerin yapması gerekenleri incelemeden önce, getirilenleri kendimize hatırlatalım.
Değişen düzenleyici ortam
ABD bu konuda öncülük yaptı ve Mart 2023’te yazılım geliştiricilerini güvenlikten sorumlu tutacak mevzuat geliştirmeyi taahhüt eden Ulusal Siber Güvenlik Stratejisini uygulamaya koydu. Bunu, QUAD ülkelerinin (Avustralya, Hindistan, Japonya ve Amerika Birleşik Devletleri) hükümet yazılım satın alma kuralları kapsamında tasarım gereği güvenliği zorunlu kılan bir anlaşmayı içeren “Güvenli Yazılım için Ortak İlkeler”i yayınlaması izledi.
Yılın ilerleyen aylarında Beyaz Saray, tasarımı gereği güvenli ve varsayılan yazılımların geliştirilmesini ve benimsenmesini teşvik etmek için kamu-özel sektör ortaklığını uygulamaya koyan Ulusal Siber Güvenlik Stratejisi Uygulama Planını yayınladı. CISA ayrıca yazılım üreticilerinin güvenli tasarımı nasıl uygulayabileceğine dair öneriler de yayınladı.
2023’teki bu düzenleme ve rehberlik dizisi, hükümetler ve yasa koyucular için seyahatin yönünü açıkça ortaya koyuyor; gelecek, güvenliğin sonradan eklenmesi yerine, doğrudan sistemlerin tasarımına dahil edilmesidir.
Peki tasarım gereği güvenlik nedir ve kuruluşlar bunu uygulamaya nasıl başlayabilir?
Güvenli Tasarım ve Tehdit Modellemesi
Tasarımı gereği güvenli bir yazılım oluşturmak için, yazılımı oluşturmaya başlamadan önce verilerin ve varlıkların güvenliğine yönelik tehditleri belirlememiz ve riskleri değerlendirip azaltmamız gerekir.
Hiçbir yazılım üreticisi güvenli olmayan bir yazılım oluşturmaya kalkışmaz. Ancak gerçek şu ki, geliştiriciler yazılımı olabildiğince çabuk piyasaya sürmeye ve daha sonra güvenlik konusunda endişelenmeye teşvik ediliyor. Ancak yazılım oluşturulduktan sonra kusurları düzeltmeye çalışmak hem zaman alıcı hem de pahalıdır. Bu nedenle, tek bir kod satırı yazılmadan önce bu konuyu en başından ele almamız gerekiyor. Tehdit modelleme bunu nasıl yaptığımızdır.
Tehdit modelleme, yazılımı potansiyel tehditlere karşı analiz etme ve bunları azaltmanın en etkili yollarını belirleme sürecidir ve güvenli tasarım için temeldir. İlk olarak Microsoft tarafından 2005 yılında geliştirilen tehdit modelleme süreci, Adam Shostack’ın ekiplerin daha güvenli sistemler oluşturmasına yardımcı olmak için tasarladığı dört sorulu çerçeve kullanılarak kolayca anlaşılabilir:
- Ne üzerinde çalışıyoruz?
- Ne yanlış gidebilir?
- Bu konuda ne yapacağız?
- Yeterince iyi bir iş çıkardık mı?
Geçmişte tehdit modelleme, siber güvenlik ekipleri ve geliştiriciler arasındaki işbirliğiyle beyaz tahta üzerinde yapılıyordu. Ancak kuruluşların binlerce uygulama geliştirdiği bir dönemde, tehditleri manuel olarak belirleme süreci giderek daha kullanışsız hale geliyor.
Otomatik tehdit modellemenin işleri kolaylaştırabileceği yer burasıdır. Geliştiriciler “ne üzerinde çalışıyoruz” verilerini bir araca girebilir ve ardından ilgili tehditleri (“neler yanlış gidebilir”) ve karşı önlemleri (“bu konuda ne yapacağız”) içeren bir tehdit modeli oluşturmak için otomasyona güvenebilir. ”). Bu nedenle, güvenlik ekiplerinin zaman ve çabası azaltılarak her yeni yazılıma sıfırdan başlamak zorunda kalmazlar.
Kuruluşunuzda güvenli tasarımın uygulanması
Etkili olabilmesi için geliştiricilerin ve yazılım mimarlarının güvenli tasarım ve tehdit modellemeyle ilgilenmesine ihtiyacımız var. Ancak geliştiricilerden güvenliğe daha fazla odaklanmalarını istemek o kadar basit değil çünkü geliştiriciler her zaman güvenlik açıklarını tespit edebilecek doğru beceriye veya deneyime sahip değiller. Geliştiricilerin çoğu, güvenli yazılım oluşturmak için gereken teknik bilgiyi veya tehdit modelinin nasıl oluşturulacağını öğrenmeden mezun oluyor. Bir web uygulamasının işlevselliğini geliştirme konusunda oldukça yetenekli olsalar da, tehdit aktörlerinin bu işlevsellikteki güvenlik kusurlarından nasıl yararlanabileceklerini her zaman düşünecek donanıma sahip değiller.
Sonuç olarak, birçok kuruluşta güvenlik testi araçlarıyla yazılımları güvenlik açıklarına karşı test etme sorumluluğu güvenlik ekiplerine düşüyor. Sorun, genellikle yazılım kodu zaten yazıldıktan sonra devreye girmeleridir. Güvenli yazılım tasarlamak için artık çok geç çünkü tasarım kusurları zaten bu aşamada yerleşmiş durumda.
Bunun yerine, yazılımı daha verimli ve güvenli bir şekilde geliştirmek için güvenlik ve geliştirici ekipleri, yazılım geliştirme sürecinin en başından itibaren işbirliği içinde çalışmalıdır. Ancak o zaman yazılım geliştirilmeden önce yazılım kusurları belirlenebilir ve azaltılabilir.
Ne yazık ki, tasarım gereği güvenlik sorumluluğu konusunda netlik eksikliğinin, güvenliğin gözden kaçabileceği anlamına geldiğini sıklıkla görüyoruz. Bu, tehdit modellemenin stratejik açıdan önemli bir faaliyet olarak önceliklendirilmesini sağlamak için üst düzey liderlerin devreye girmesi gerektiği zamandır. Eğer hükümetten gelen bir sürü kural ve düzenleme üst düzey liderlerin dikkate alması için yeterli değilse, o zaman hiçbir şey olmayacaktır.
Hızla değişen bir ortam
Bir yıl içinde siber güvenlik ve kuruluşların kendilerini siber saldırılara ve tehditlere karşı nasıl koruyabilecekleri konusunda çok sayıda düzenleme ve rehberliğe tanık olduk. Sadece ABD’de değil, küresel olarak.
Bu karışıma, siber tehdit ortamında halihazırda önemli bir etkiye sahip olan makine öğrenimi ve yapay zeka gibi yeni teknolojilerin ortaya çıkışı da eklendiğinde, geliştirme sürecinin başlangıcından itibaren güvenliğe öncelik verilmesinin sağlanması daha da önemli hale geliyor.
Bu yıl kuruluşların harekete geçmesi ve güvenli tasarım ve tehdit modellemeyi yazılım geliştirme sürecine erken aşamalardan itibaren uygulamak için bunun önüne geçmesi yılıdır. İşletmelerin ön planda olması her zamankinden daha önemli, aksi takdirde geride kalacaklar.
yazar hakkında
Stephen de Vries, IriusRisk’in kurucu ortağı ve CEO’sudur. Yazılım güvenliğine geçmeden önce kariyerine C, C++ ve Java geliştiricisi olarak başladı. Bir dizi OWASP projesine aktif olarak katkıda bulunmaktadır ve FTSE 100 şirketlerinin, tehdit modelleme ve entegre güvenlik testleri yoluyla geliştirme süreçlerine güvenliği dahil etmelerine yardımcı olmuştur. Stephen’a linkedin.com/in/stephen-de-vries-4185a8 adresinden ve şirket web sitemiz https://www.iriusrisk.com/ adresinden ulaşılabilir.