Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), diğer federal kurumlarla işbirliği içinde, kritik altyapıyı ve ulusal güvenlik sistemlerini destekleyen yazılımların davranışını daha iyi anlamak için ulusal çaba gösterilmesini teşvik eden kapsamlı bir rapor yayınladı.
“Yazılım Anlayışı Açığının Kapatılması” başlıklı rapor, sistem sahiplerinin ve operatörlerinin yazılım kontrollü sistemlerini normal, anormal ve düşmanca tüm koşullar altında daha iyi inşa etmelerine ve değerlendirmelerine yardımcı olacak politika eylemi, teknik yenilik ve kaynaklara yönelik acil ihtiyacın altını çiziyor .
NSA Araştırma Teknik Direktörü Neal Ziring, bu girişimin önemini vurgulayarak şunları söyledi: “Yazılımın anlaşılmaması, yazılımın düzgün ve amaçlandığı gibi çalışmasına bağımlı olan birçok kritik sistemin risklerini beraberinde getirir.”
NSA Araştırma Teknik Direktörü ayrıca raporun, kritik bir ulusal çaba olarak yazılım anlayışına öncelik verilmesi konusunda hükümet ve özel sektörlere işbirliği yapmaları için ulusal bir çağrı işlevi gördüğünü de sözlerine ekledi.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Teknik Analiz
CISA Direktörü Jen Easterly, bu tavsiyelerin önemini vurgulayarak şunları söyledi: “BT SSG’leri, kritik altyapı sektörlerinin, yazılım ve donanım tasarımı ve geliştirilmesinde siber güvenliği önemli ölçüde güçlendirmesine yardımcı oluyor.”
Ajans ayrıca Ulusal Güvenlik Açığı Veritabanındaki (NVD) zorluklara çözüm bulmak için ‘Vulnrichment’ adlı yeni bir program başlattı. Bu program, Ortak Platform Sayımı (CPE) numaraları, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanları ve Bilinen İstismar Edilen Güvenlik Açıkları (KEV) girişleri dahil olmak üzere Ortak Güvenlik Açıkları ve Etkilenmelere (CVE’ler) meta veriler eklemeye odaklanır.
Raporda birkaç önemli öneri özetleniyor: –
- Ağ segmentasyonu ve erişim kontrolleri gibi kontrolleri kullanarak yazılım geliştirme ortamlarını ayırmak.
- Geliştirme ortamlarında yetkilendirme için düzenli olarak günlüğe kaydetme, izleme ve güven incelemeleri uygulama.
- Tüm yazılım geliştirme süreçlerine erişim için çok faktörlü kimlik doğrulamanın zorunlu kılınması.
- Geliştirme sürecinde kullanılan yazılımlara ilişkin güvenlik protokollerinin oluşturulması.
- Hassas verileri ve kimlik bilgilerini kaynak kodu yerine şifreleme yoluyla saklama.
- Bir yazılım tedarik zinciri risk yönetimi planı oluşturmak.
Bu girişimler, güvenlik yükünü son kullanıcılardan üreticilere aktarmayı amaçlayan CISA’nın daha geniş Tasarımla Güvenlilik ilkeleriyle uyumludur.
Kuruluşlar bu önerileri uygulayarak siber güvenlik duruşlarını önemli ölçüde iyileştirebilir ve kritik altyapıları ve ulusal güvenlik sistemlerini daha iyi koruyabilirler.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri