Kritik Altyapı Güvenliği
CISA, BT ve Tasarım Sektörü Yazılım Geliştiricilerini Siber Hijyeni Geliştirmeye Çağırıyor
Chris Riotta (@chrisriotta) •
7 Ocak 2025
ABD siber savunma kurumu, yazılım ve ürün geliştiricilerini, yazılım geliştirme ortamlarını ağ bölümleme ve erişim kontrolleriyle izole etmeye, yetkilendirme için güven ilişkilerini izlemeye ve bir dizi BT sektörüne özgü hedeflerle uyumlu tedarik zinciri risk yönetimi programları uygulamaya çağırıyor.
Ayrıca bakınız: Active Directory Güvenliği Operasyonel Dayanıklılığı Nasıl Artırır?
Siber Güvenlik ve Altyapı Güvenliği Ajansı Salı günü, BT ve ürün tasarımı sektörü için gönüllü siber güvenlik performans hedeflerini yayınlayarak, tüm kritik altyapı sektörlerindeki yazılım ve ürün geliştiricilerine sağlam siber hijyen ve risk azaltma için temel standartlar sağladı. Kılavuz, geliştiricileri, yazılım geliştirme ortamları için kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı zorunlu kılarak, yazılım araçları için katı güvenlik gereksinimleri belirleyerek ve hassas verileri ve kimlik bilgilerini şifreleme veya gizli yöneticiler kullanarak güvenli bir şekilde depolayarak CISA’nın Tasarım Yoluyla Güvenli ilkelerini benimsemeye teşvik ediyor.
BT Bilgi Paylaşımı ve Analiz Merkezi’nin genel müdürü Scott Algeier, CISA’nın gönüllü gerekliliklerindeki pek çok uygulamanın, özellikle de güvenli kod geliştirmenin onlarca yıldır sektörde standart olduğunu söyledi.
Algeier, Information Security Media Group’a “Bu hedeflere ulaşmak değerli olmakla birlikte, hiçbir kuruluşun sınırsız kaynaklara sahip olmadığını anlamak da önemlidir.” dedi. “Bazı kuruluşların belirli stratejilere diğerlerine göre öncelik vermesi gerekebilir.”
Geçtiğimiz iki yıl boyunca CISA, teknoloji üreticilerini siber güvenliği ürün geliştirme sürecine dahil etmeye, güvenlik açığı açıklama politikaları yayınlamaya ve kamuya açık testler için güvenlik açıklarının şeffaf bir şekilde raporlanmasını sağlamaya teşvik eden bir girişime öncülük etti. Geçen yıl en az 68 teknoloji şirketi CISA’nın Güvenli Tasarım taahhüdüne katılarak çok faktörlü kimlik doğrulamayı benimsemek, varsayılan şifreleri ve önemli güvenlik açıklarını ortadan kaldırmak ve ürünleri genelinde güvenlik yamalarını geliştirmek gibi yedi hedefi taahhüt etti (bkz: Teknoloji Devleri CISA’nın Tasarım Taahhüdüne Katılıyor).
En son kılavuz, yazılım malzeme listelerinin tüm müşterilerin kullanımına sunulması da dahil olmak üzere, sektörün bu ilkelere uymasını sağlayacak belirli adımları içermektedir. Ajans, önerinin yüksek maliyetini ve karmaşıklığını kabul etti ancak bunun önemli etkisini vurguladı ve bunun siber güvenliğin güçlendirilmesi açısından kritik olduğunu belirtti.
Algeier ayrıca SBOM’ları tüm müşterilere sağlamanın maliyeti ve karmaşıklığının zorluklar yaratabileceğini öne sürdü. “Şirketlerin SBOM’ları tüm ürünlerde tüm müşterilere sunmanın değerini değerlendirmeye devam etmelerini bekliyorum.”
CISA, kritik altyapı sektörlerinde yazılım geliştirmede siber güvenliği güçlendirmek için rehberliği artırdı. Ekim ayında, yeni ürün gruplarında hafıza açısından güvenli olmayan dillerin kullanılması, ulusal güvenliğe ve kritik altyapıya yönelik tehditlere atıfta bulunulması gibi “olağanüstü riskli uygulamalara” karşı uyarıda bulunmak için FBI ile ortaklık kurdu (bkz: CISA ‘Olağanüstü Riskli’ Yazılım Kötü Uygulamalarını Açıkladı).
CISA Direktörü Jen Easterly yaptığı açıklamada, sektöre özel yeni hedeflerin “kritik altyapı sektörlerinin yazılım ve donanım tasarımı ve geliştirilmesinde siber güvenliği önemli ölçüde güçlendirmesine yardımcı olduğunu” söyledi. Kuruluşların “tüketiciler de dahil olmak üzere tedarik zincirine fayda sağlayacak ve onu koruyacak hedefleri gözden geçirmesi ve uygulaması” gerektiğini ekledi.