CISA ‘Olağanüstü Riskli’ Yazılım Kötü Uygulamalarını Açıkladı

Siber Güvenlik ve Altyapı Güvenliği Ajansı ve FBI, Çarşamba günü ürün güvenliğindeki kötü uygulamalar hakkında ortak bir kılavuz yayınladı ve SQL veritabanı sorgularına veya işletim sistemi komut dizelerine doğrudan kullanıcı tarafından sağlanan girdilerin dahil edilmesi gibi güvenli olmayan geliştirme tekniklerinden oluşan bir katalog hakkında kamuoyunun yorumunu istedi. Katalog, en tehlikeli ürünleri üç kategoride listeliyor: ürün özellikleri, güvenlik özellikleri ve organizasyonel süreçler ve politikalar.

CISA Direktörü Jen Easterly, kılavuza eşlik eden bir açıklamada, “Yıl 2024 ve temel, önlenebilir yazılım kusurları, hastanelere, okullara ve diğer kritik altyapılara yönelik felç edici saldırılara olanak sağlamaya devam ediyor” dedi ve şunları ekledi: “Bunun durması gerekiyor.”

Kötü uygulamalar arasında şunlar yer alıyor: Federal kurumların, kritik altyapı hizmetlerinde kullanılan ürünler için rastgele, örneğe özgü başlangıç ​​şifreleriyle gönderilmesi gerektiğini söylediği varsayılan şifreli yazılım yayınlamak. Öneriler, Ulusal Standartlar ve Teknoloji Enstitüsü’nün dijital şifre uygulamalarının elden geçirilmesini gerektiren dijital kimlik yönergeleriyle uyumludur (bkz.: NIST, Tipik Şifre Uygulamalarında Büyük Bir Yenileme Çağrısında Bulunuyor).

Uzmanlar, Bilgi Güvenliği Medya Grubu’na, kılavuzun CISA’nın yazılım sağlayıcılarını minimum güvenlik geliştirme standartlarını uygulama konusunda sorumlu tutma çabasına dayandığını söyledi. Önde gelen yazılım şirketleri ve teknoloji devleri yakın zamanda CISA’nın daha güçlü güvenlik önlemlerini doğrudan ürün tasarımına yerleştirme girişimine katılarak, ürün güvenliğini sıfırdan geliştirmeye yönelik daha geniş bir çabanın parçası olarak güvenlik yükünü son kullanıcılardan geliştiricilere kaydırdı (bkz.: Teknoloji Devleri CISA’nın Tasarım Taahhüdüne Katılıyor).

Uygulama güvenliği firması Veracode’un kurucu ortağı Chris Wysopal, “Bu kötü uygulamalar, tüm yazılım üreticilerinin uyması gereken asgari uygulamaları temsil ediyor” dedi. “Kritik altyapıyı veya ulusal kritik işlevleri destekleyen yazılımlar üreten şirketler için işin kolayına kaçmak ve bu yönergeleri göz ardı etmek pervasızlıktan başka bir şey değildir.”

Kılavuz, çok faktörlü kimlik doğrulamanın uygulanması ve CISA’nın bilinen istismar edilen güvenlik açıkları kataloğunda listelenen istismar edilebilir güvenlik açıklarını içeren yeni ürünlere bileşenlerin dahil edilmesinden kaçınmak gibi temel siber güvenlik önlemlerini içeriyor. CISA ve FBI ayrıca, kritik altyapı sektörlerine hizmet veren ürünlerde yeni keşfedilen güvenlik açıklarına ilişkin bildirimlerin zamanında yayınlanmamasının “ulusal güvenlik riskini önemli ölçüde artıracağı” konusunda uyarıyor.

Orca Security’nin saha teknoloji sorumlusu Neil Carpenter’a göre pek çok yazılım sağlayıcı, en temel siber güvenlik önlemlerinden bazılarını yeni ürün tekliflerine uygulamakta hala başarısız oluyor.

“Acı gerçek şu ki [CISA’s] Carpenter, ISMG’ye şöyle konuştu: “En son tavsiye niteliğindeki belge, yıllar içinde alınan ve sayısız kuruluşun riske girmesine neden olan kötü ürün tasarımı kararlarının tekrarını özetlemektedir.” “Bunlar, her mühendislik ve ürün liderinin alması gereken eylemlerdir ve yazılım satın alan her kuruluş, sağlayıcılarını sorumlu tutmalıdır.” için.”

CISA, 2023’te, üreticilere kritik sistemleri etkileyen en önemli siber tehditleri belirlemek için risk değerlendirmeleri yaparak başlamalarını ve ardından ürün planlarına korumalar oluşturmalarını öneren tasarımı itibarıyla güvenli bir yol haritası yayınladı (bkz.: CISA ve Diğerleri Güvenli Yazılım Üretimi Kılavuzunu Açıkladı). Kılavuz, üreticilerin güvenli olmayan bellek programlama dillerinin kullanımına öncelik vermelerini ve müşterileri güvenli olmayan özellikleri benimsemekten korumak için gerektiğinde “zor ödünler vermelerini” tavsiye etti.

Kamu ve kilit paydaşların 2 Aralık’a kadar Federal Kayıt aracılığıyla katalogla ilgili geri bildirimde bulunmaları gerekiyor.