Uç Nokta Güvenliği , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Ortak Yol Haritası Ayrıntıları Üreticilerin Güvenliği Tasarım Süreçlerine Nasıl Dahil Etmesi Gerekiyor?
Micheal Novinson (Michael Novinson) •
13 Nisan 2023
Amerika Birleşik Devletleri ve diğer yarım düzine ülke, Perşembe günü bir belgede üreticilere siber güvenliği temel bir iş hedefi haline getirmeleri için yalvaran teknoloji endüstrisinin onlarca yıllık tavrını tersine çevirmeye çalıştı.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
Tasarım gereği güvenliği vaaz eden 15 sayfalık bir belge, üreticilerin yazılımın güvenli olmasını sağlamak için tasarım ve geliştirme programlarını uyumlu hale getirmesi gerektiğini söylüyor – müşterileri daha fazla ödemeye veya yapılandırmayı değiştirmeye zorlamadan. ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi, Federal Soruşturma Bürosu ve Ulusal Güvenlik Dairesi, kılavuz üzerinde Avustralya, Birleşik Krallık, Kanada, Almanya, Hollanda ve Yeni Zelanda ile iş birliği yaptı.
Ajanslar, tasarım gereği güvenli ve varsayılan olarak güvenli “güvende kalma yükünün çoğunu üreticilere taşıyın ve müşterilerin yanlış yapılandırmalardan, yetersiz hızlı yama uygulamalarından veya diğer birçok yaygın sorundan kaynaklanan güvenlik olaylarına kurban gitme ihtimalini azaltın” diye yazdı.
Kılavuz, CISA Direktörü Jen Easterly’nin üreticilere ürünler sevk edilmeden önce güvenlik açıklarının birikmesini durdurmaya çağıran yüksek profilli bir adres vermesinden yedi haftadan kısa bir süre sonra geldi. “Onlarca, yüzlerce, binlerce kusurlu” ürünü halka arz etme dönemi artık sona ermeli” dedi. Perşembe günü yayınlanan belge, Easterly’nin konuşmasındaki ana temaları daha ayrıntılı olarak araştırıyor (bkz: ABD Yetkilisi Sektörü Kötü Siber Güvenlikle Suçladı).
Belgenin arkasındaki ajanslar, teknoloji endüstrisi yönergeleri yayınlamak için düzenleyici otoriteye sahip değiller, ancak bazı hükümetler teknoloji endüstrisini daha iyi güvenlik uygulamaları benimsemeye zorlayabileceklerini söylediler. Avrupa Birliği, teknoloji üreticilerini güvenlik desteği ve yazılım güncellemeleri sağlamaya mecbur eden Siber Direnç Yasası adlı bir yasa tasarısını aktif olarak değerlendiriyor – CISA belgesinde onaylayarak bahsedilen bir yasa tasarısı.
Güvenli Tasarım Üreticilere Maliyetli Gelir
Tasarım gereği güvenlik süreci, yazılım üreticilerinin kritik sistemlere yönelik en önemli siber tehditleri belirlemek için bir risk değerlendirmesi yapması ve ardından korumaları ürün planlarına dahil etmesiyle başlamalıdır. CISA, yaygın güvenlik açıklarını ortadan kaldıran programlama dillerine geçiş yapmak gibi müşterilerin göremediği yöntemler olsa bile üreticileri güvenliği ikiye katlamaya çağırıyor.
CISA, üreticilerin mümkün olan her yerde C#, Rust, Ruby, Java, Go ve Swift gibi bellek güvenli programlama dillerinin kullanıcısına öncelik vermesi gerektiğini belirtti. Adres alanı düzeni rasgeleleştirme, kontrol akışı bütünlüğü ve bulanıklaştırma gibi eski kod tabanları için azaltmaların, istismarı yeterince engellemediği belirtildi.
Kaynak kodu ve uygulama davranışı, uygunsuz yönetimi ve bellek ve hataya açık veritabanı sorgusu yapısını tespit etmek için statik ve dinamik uygulama güvenlik testleri aracılığıyla incelenmelidir. Ek olarak, kullanıcı ayrıcalıkları dar bir şekilde sağlanmalı ve tek bir güvenlik kontrolünün tehlikeye atılmasının tüm sistemin tehlikeye atılmasıyla sonuçlanmamasını sağlamak için erişim kontrol listeleri kullanılmalıdır.
CISA ve muadilleri, üreticilerin çekici görünen ancak saldırı yüzeyini genişleten ürün özelliklerini benimsemek yerine müşterileri koruyan araçlarda “zor ödünler vermesi” ve yeteneklere ve mekanizmalara öncelik vermesi gerektiğini söyledi. Hem yeni hem de mevcut araçlar için tasarım gereği güvenlik uygulamalarına yatırım yapmak, müşterilerin güvenlik duruşunu iyileştirecek ve tehlikeye girme olasılığını azaltacaktır.
Ajanslar, “Müşteriler için güvenlik sonuçlarının sahipliğini üstlenmek ve bu düzeyde müşteri güvenliği sağlamak, geliştirme maliyetlerini artırabilir” diye yazdı. “Tasarım yoluyla güvenlik ilkeleri, yalnızca müşteriler için güvenlik duruşunu ve geliştiriciler için marka itibarını güçlendirmekle kalmıyor, aynı zamanda uzun vadede üreticiler için bakım ve yama maliyetlerini de düşürüyor.”
“Güvenlik Lüks Bir Seçenek Değildir”
CISA raporunun üzerinde durduğu konulardan biri, teknoloji endüstrisinin daha iyi güvenliği fiyatları yükseltmek için bir fırsat olarak görmemesi gerektiğidir.
Ajanslar, “‘Varsayılan Olarak Güvenli’ olan ürünlerin üreticileri, ek güvenlik yapılandırmaları uygulamak için ekstra ücret almazlar” diye yazdı. “Emniyet kemerlerinin tüm yeni arabalara dahil olması gibi bunları temel ürüne dahil ediyorlar. Güvenlik lüks bir seçenek değil, her müşterinin pazarlık yapmadan veya daha fazla ödemeden beklemesi gereken standarda daha yakın.”
Rapora göre, ürünler evrensel olarak paylaşılan varsayılan parolalara sahip olmamalı ve bunun yerine yöneticilerin kurulum ve yapılandırma sırasında güçlü bir parola belirlemesini gerektirmelidir. Ajanslar, üreticilerin ayrıca müşterilere yüksek kaliteli denetim günlüklerini ücretsiz olarak sağlamaları gerektiğini çünkü bunların potansiyel güvenlik olaylarını tespit etmek, ilerletmek ve araştırmak için çok önemli olduğunu söyledi.
Ajanslar, “Müşteri girişi önemli olmakla birlikte, yazar ajanslar, müşterilerin gelişmiş standartları, genellikle ağ protokollerini benimsemek istemediği veya benimsemediği önemli durumları gözlemledi” dedi. “Üreticilerin müşterilerin güncel kalması ve süresiz olarak savunmasız kalmasına izin vermemesi için anlamlı teşvikler oluşturması önemlidir.”
Üreticileri Güvenliğe Öncelik Vermeye Teşvik Etmek
Yetkililer, yazılım üreticilerini güvenlik açığı tavsiyelerinin eksiksiz ve doğru olmasını sağlamaya ve güçlü kimlik doğrulama önlemlerinin ne sıklıkta benimsendiği gibi çalışmalarından öğrenilen bilgileri müşterilerle paylaşmaya çağırdı. Üreticiler, ürün güvenliği konularıyla ilgili açık iletişimi sürdürmeli ve dahili forumlarda, harici ürün pazarlamasında ve müşteri ilişkilerinde güvenliği vurgulamalıdır.
Siber güvenlik yetkilileri, güvenlik liderlerinin güvenlik yatırımları için yapılandırma hatalarını azaltmak, güvenlik yamalarının hızını yavaşlatmak ve saldırı yüzeyini en aza indirmekle uyumlu etkinlik ölçümleri geliştirmesi gerektiğini söyledi. Ve en iyi güvenlik uygulamalarına uyan ürünler geliştiren üretim ekipleri, ödüller, finansal teşvikler veya terfi kriterleri yoluyla ödüllendirilmelidir.
Ajanslar, “Üst düzey liderlik, ekipleri ürün mükemmelliği ve kalitesinin temel bir unsuru olarak güvenli ürünler sunmaktan sorumlu tutmalıdır” diye yazdı.
CISA ve muadilleri, bu arada müşterilerin, BT departmanlarının üretici yazılımının güvenliğini satın almadan önce değerlendirmesini gerektiren politikalar oluşturması gerektiğini söyledi. Liderler, kuruluşların teknoloji tedarikçilerinden iç güvenlik kontrolü duruşları hakkında şeffaflık beklemeleri ve bulut sistemlerini benimserken ortak sorumluluk modelini anlamalarını sağlamaları gerektiğini söyledi.
“BT liderleri, hangi ürün ve hizmetlerin bunları en iyi şekilde somutlaştırdığını anlamak için sektör meslektaşlarıyla işbirliği yapmalıdır. [secure-by-default] tasarım ilkeleri” diye yazdı ajanslar. “Müşteriler birlikte çalışarak üreticilere anlamlı girdiler sağlamaya yardımcı olabilir ve güvenliğe öncelik vermeleri için teşvikler yaratabilir.”