Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Ürün Güvenliği Kötü Uygulamalar kataloğunu kamuoyunun görüşüne sunarak güvenli yazılım geliştirmeyi teşvik etme konusunda önemli bir adım attı.
Bu belge, özellikle riskli görülen yazılım geliştirme uygulamalarını tanımlar ve bu risklerin azaltılmasına yönelik yönergeler sağlar. Yazılım üreticilerine, özellikle de kritik altyapı veya ulusal kritik işlevlere (NCF’ler) yönelik yazılım üretenlere, genel siber güvenliği güçlendirmek için bu kötü uygulamalardan kaçınmaları çağrısında bulunuyor.
Kamuoyunun görüşü dönemi bugün açılıyor ve 2 Aralık 2024 Pazartesi gününe kadar devam edecek ve paydaşlara girdi sağlama ve bu kılavuzun geliştirilmesine katkıda bulunma şansı verecek.
Ulusal Siber Güvenlik Stratejisi ve Güvenli Yazılım Çağrısı
Bu kataloğun yayınlanması, siber uzayı savunma sorumluluğunu, onu yönetmek için en iyi konumdaki kuruluşlara, yani yazılım üreticilerine devretmeyi amaçlayan Ulusal Siber Güvenlik Stratejisi ile uyumludur. Stratejinin de vurguladığı gibi, en tehlikeli siber güvenlik açıklarının çoğu, zayıf yazılım geliştirme uygulamalarından kaynaklanmaktadır. Güvenli bir dijital altyapıyı tam olarak hayata geçirmek için üreticilerin, özellikle de ürünleri kritik sistemlerde kullanıldığında bu uygulamalardan kaçınması gerekiyor.
CISA Direktörü Jen Easterly, bu riskleri ele almanın aciliyetini vurguladı ve şunları kaydetti: “Yıl 2024 ve temel, önlenebilir yazılım kusurları, hastanelere, okullara ve diğer kritik altyapılara yönelik felç edici saldırılara olanak sağlamaya devam ediyor. Bunun durması gerekiyor.” Easterly, katalogda sunulan rehberliğin isteğe bağlı olduğunu ancak yazılım üreticilerini müşterilerinin güvenliğine sahip çıkmaya ve güvenliğin tasarım gereği yazılımın içine yerleştirildiği bir geleceğe katkıda bulunmaya teşvik etmek için tasarlandığını vurguladı.
Beyaz Saray Ulusal Siber Direktörü Harry Coker Jr. da bu duyguyu yineleyerek, zayıf yazılım güvenliği uygulamalarının geniş kapsamlı sonuçlarına ve bunların ulusal güvenlik ve Amerikalıların gündelik yaşamı üzerindeki etkilerine işaret etti. Özel sektöre sorumluluğunu ciddiye alma çağrısında bulunarak, “Özel sektör ortaklarımız sorumluluklarını üstlenmeli ve güvenli ürünler üretmeli” dedi.
FBI’ın Güvenli Yazılım Uygulamaları Çağrısı
FBI Siber Bölüm Direktör Yardımcısı Bryan Vorndran da yazılım geliştirmede kötü uygulamalardan kaçınmanın öneminin altını çizdi. Vorndran’a göre kritik altyapılarda kullanılan yazılımların yüksek standartlarda tutulması gerekiyor çünkü bu tür sistemlerdeki güvenlik açıkları hem ulusal güvenliği hem de günlük kullanıcıları riske atıyor. CISA gibi FBI da yazılım üreticilerini, güvenlik açıklarının kötü niyetli aktörler tarafından istismar edilmesini önlemek için katalogda belirtilen riskli uygulamalardan kaçınmaya çağırdı.
Tasarım Girişimiyle Güvenli
Ürün Güvenliği Kötü Uygulamaları kataloğunun yayınlanması, 18 ABD’li ve uluslararası kurum tarafından desteklenen küresel bir çaba olan CISA’nın Güvenli Tasarım girişiminin devamı niteliğindedir. Bu girişim, yazılım üreticilerini güvenlikteki en iyi uygulamaları benimsemeye teşvik ediyor ve CISA’nın Tasarım Güvencesi Taahhüdü aracılığıyla halihazırda 220’den fazla üreticinin taahhütlerini güvence altına aldı.
Yeni katalog, NIST Güvenli Yazılım Geliştirme Çerçevesi (SSDF) gibi önceki çalışmalara dayanıyor ve Güvenli Tasarım girişimi kapsamında gelecekteki eylemler için merkezi bir yol gösterici belge olarak hizmet etmeyi amaçlıyor.
Ürün Güvenliği Kötü Uygulamalar Katalogunun Yapısı
Katalog üç ana kategoriye ayrılmıştır:
- Ürün Özellikleri: Bir yazılım ürününün gözlemlenebilir, güvenlikle ilgili niteliklerini ifade eder. Bu özelliklerin, çeşitli koşullar altında güvenli bir şekilde çalışmasını sağlamak için yazılımın içine yerleştirilmesi gerekir.
- Güvenlik Özellikleri: Bu bölüm, bir ürünün desteklemesi gereken güvenlik işlevlerini özetlemektedir. Bu özellikler, yazılımı yetkisiz erişime, kötü niyetli kullanıma ve istismara karşı korumak için gereklidir.
- Organizasyonel Süreçler ve Politikalar: Bu kategori, yazılım üreticilerinin iç süreçlerine, özellikle de geliştirme yaklaşımlarındaki şeffaflığa ve güvenliğe olan bağlılıklarına odaklanır.
Kataloğun kapsamlı olduğu iddia edilmemektedir; bunun yerine, mevcut tehdit ortamına göre yazılım üreticilerinin kaçınması gereken en tehlikeli ve acil kötü uygulamalara odaklanıyor. Listede bir uygulamanın bulunmaması, kabul edilebilir olduğu anlamına gelmez; CISA, bu belgeye dahil edilmek üzere yalnızca en kritik konulara öncelik vermiştir.
Vurgulanan Belirli Kötü Uygulamalar
Bahsedilen önemli kötü uygulamalardan bazıları şunlardır:
- Bellek-Güvenli Olmayan Dillerde Geliştirme: Kritik altyapıya yönelik yazılımlarda C veya C++ gibi bellek açısından güvenli olmayan dillerin kullanılması önemli güvenlik açıklarına neden olur. Yazılım üreticilerine, 1 Ocak 2026’ya kadar bellek açısından güvenli dillere geçiş yapmaları ve bir bellek güvenliği yol haritası yayınlamaları çağrısında bulunuluyor.
- Kullanıcı Tarafından Sağlanan Girişin SQL Sorgu Dizgilerine Dahil Edilmesi: Kullanıcı girişine dayalı ham SQL sorgularına izin veren ürünler, SQL enjeksiyon saldırılarına karşı oldukça savunmasızdır. Katalog, bu riski azaltmak için parametreli sorguların kullanımının zorunlu kılınmasını önerir.
- Varsayılan Şifrelerin Varlığı: Ürünlerin varsayılan parolalarla piyasaya sürülmesi, özellikle kritik altyapılarda güvenlik risklerini önemli ölçüde artırır. Üreticilerin varsayılan şifreleri ortadan kaldırmaları ve çok faktörlü kimlik doğrulama (MFA) gibi daha güçlü kimlik doğrulama önlemlerini uygulamaları isteniyor.
- Bilinen İstismar Edilen Güvenlik Açıkları: CISA’nın Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) Kataloğunda listelenen, bilinen güvenlik açıklarıyla piyasaya sürülen ürünler tehlikelidir. Yazılım üreticileri, bu güvenlik açıklarının yayınlanmadan önce yamalandığından emin olmalı ve sürüm sonrasında yeni güvenlik açıkları keşfedilirse zamanında güncellemeler yayınlamaya devam etmelidir.
- Güvenlik Açıkları İçeren Açık Kaynak Yazılım: Bilinen güvenlik açıklarına sahip açık kaynak bileşenlerin kullanılması önemli riskler taşır. Yazılım üreticilerinin bir yazılım malzeme listesi (SBOM) tutmaları, düzenli olarak güvenlik açıklarını taramaları ve zamanında yamalar yayınlamaları tavsiye edilir.
Ürün Güvenliği Kötü Uygulamalar kataloğu, özellikle kritik altyapıya bağlı sektörlerde olmak üzere sektörler genelinde yazılım güvenliğini iyileştirmeye yönelik kritik bir aracı temsil eder. Kaçınılması gereken en tehlikeli uygulamaların ana hatlarını çizerek CISA ve FBI, yazılım üreticilerini daha güvenli geliştirme uygulamalarına yönlendirmeyi amaçlıyor. Kataloğun güncel ve etkili kalmasını sağlamak için kamuoyunun yorumu teşvik edilmektedir.