[ This article was originally published here ]
kaydeden Joe Fay
Direnç, ABD’nin internet ve yazılım güvenliğine yaklaşımının son oyunudur.
Beyaz Saray’dan bir siber güvenlik lideri geçen hafta Londra’da düzenlenen State of Open Konferansı’nda ABD’nin güvenli ve dayanıklı bir internet ve yazılım ekosistemi yaratmada çıkarı olduğunu, bu “düşmanlarının” da yararlandığı anlamına gelse bile, dedi.
Uluslararası güvenlik politikası konulu bir panel oturumunda EscherCloudAI, AI DevSecOps açık kaynak yöneticisi Sal Kimmich, güvenlik açıklarını ortaya çıkaran araştırmacıların ulus devletlerin baskısıyla karşı karşıya kalabileceğini ve bunları korumanın bir yolu olması gerektiğini söyledi.
Microsoft açık kaynak stratejisi direktörü Sarah Novotny, “Teşvikleri uyumlu hale getirmelisiniz ve Zero Day için teşvikler sunan bir ulus devletle rekabet etmek gerçekten zor bir şey.”
Açık Kaynak Güvenlik Vakfı genel müdürü Brian Behlendorf, 2021’in sonlarında kaosa neden olan Log4j güvenlik açığıyla ilgili olarak, “Eminim bu, ulus devletler veya diğer aktörler tarafından bulunan ve gizli tutulan bir hataydı.”
Beyaz Saray’da teknoloji güvenliğinden sorumlu ulusal siber direktör yardımcısı Anjana Rajan, yaygın güvenlik açıklarını ve riskleri (CVE) raporlamaya yönelik teşvik yapısının “son derece yanlış hizalanmış” olduğunu kabul etti. Neden polisi kendi kodunla aradın? Daha geniş bir ekosistem için oyunun sonunun ne olduğunu gerçekten anladığımızı sanmıyorum.”
Beyaz Saray’ın Ulusal Siber Direktör Ofisi için “dayanıklılık oyunun son halidir” dedi.
Güvenliği inşa etmek “tüm ulusal güvenlik çıkarlarımıza veya ekonomik çıkarlarımıza fayda sağlar ve evet, bu, düşmanlarımızın da güvenli ve esnek bir internete sahip olabileceği anlamına gelir.”
Ancak devam etti, “Aslında çıkarlarımız için ödemek istediğimiz bedel bu. Ve bence bu, sohbette bir nevi kışkırtıcı bir değişim.”
Açık kaynak yazılımı, Beyaz Saray’ın ulusun altyapısını güvence altına alma stratejisinin önemli bir parçası olduğunu söyledi. “Uzun vadeli bir strateji olması gerekiyor çünkü ekonomimiz buna bağlı, ulusal güvenliğimiz buna bağlı, demokrasimiz buna bağlı.”
Beyaz Saray’ın açık kaynak güvenliği, modern yazılım ekosistemlerine eski politika yaklaşımlarını basitçe empoze etmenin mümkün olmadığını kabul etti, dedi.
Açık kaynağın güvenliğini sağlamak, yazılımı oluşturan ve projeleri en baştan sürdüren insanlarla konuşmak anlamına geliyordu. Bu aynı zamanda ABD’nin öylece bir politika belirleyip bunu küresel ölçekte ölçeklendiremeyeceği anlamına da geliyordu, dedi.
Ulusu Otomasyonla Koruyun
“’Açık kaynaklı bir ekosistem dünyanın her yerinde nasıl görünür?’ Ve sonra önce kavramları ve önce tezi kurun, sonra yönetmeliğin ne olduğunu düşünün?” Rajan ekledi.
Beyaz Saray’ın stratejisi, yazılım malzeme listelerine büyük bir vurgu yaptı. Ancak bunun daha fazla otomasyona ihtiyacı var. Rajan, “Bu masa bahisleri olmalı,” dedi. “Manuel olarak bir malzeme listesi oluşturmak zorunda kalmamalıyım. Bir düğmeyi tıklamak ve her çekme isteği gönderdiğimde bunu güncellemek için GitHub depoma güvenebilmeliyim”
Havuzların güncellenmesi gerektiği gibi, CVE listelerinin alınması da otomatikleştirilmelidir. “Sanırım hepimiz için bir sonraki aşama, Tamam, politika ve kavramlar konusunda hemfikir olduğumuza göre, bunu nasıl otomatik hale getireceğiz? Şimdi bu siber güvenliği tasarım gereği nasıl yapacağız? ”
Beyaz Saray’ın çok basit bir çabası, hafıza için güvenli dillerin benimsenmesini teşvik etmektir. Ayrı bir oturumda Rajan, bellek güvenliği sorunlarının, 2003’teki SQL Slammer solucan saldırısından 2017’deki WannaCry’a kadar son yirmi yıldaki birçok büyük güvenlik krizinin temelini oluşturduğunu belirtti.
Rajan, Rust, Python ve Swift gibi dillere geçmenin güvenlik açıklarının yaklaşık %70’ini ortadan kaldıracağını belirtti. “Bu yazılım ekosistemini güvence altına almak için gümüş bir değnek olmasa da, bu kesinlikle dayanıklılığı artırmak için önemli bir adım.”
Ayrıca eğitime çok daha fazla odaklanılması gerektiğini söyledi. Bu sadece daha fazla mühendis ve kriptografı teşvik etme durumu değildi. “Bunun çalışması için çok kritik olan diğer disiplinleri anlayan insanlara da ihtiyacımız var.”
Aynı zamanda, güvenliğin bilgisayar bilimi kurslarına dahil edilmesini sağlamaktan daha fazlasıydı. Sektörün, teknik kolejler ve toplum kolejleri ve etkili bir şekilde kendi kendini yetiştirenler de dahil olmak üzere diğer geleneksel olmayan yollar olsun, birçok teknoloji çalışanının sektöre başka yollardan geldiğini kabul etmesi gerektiğini söyledi.
Son unsurun, hükümetin tedarik zincirindeki daha küçük oyunculara aşırı yük getirmemesini sağlamak olduğunu söyledi. “Bilirsiniz, bir ulus devletin siber saldırısına dayanacak kaynaklara sahip olmayan birey veya küçük işletme veya anne-baba dükkanı.”
Ama yine de kendilerini çözümün bir parçası olarak görmelerini sağlamak istiyoruz. Peki, herkesin oynayabileceği rolü anladığından emin olmak için bir dijital farkındalık stratejisi oluşturmak ne anlama geliyor?
reklam