Yönetişim ve Risk Yönetimi
CISA, NSA, FBI ve Küresel Ortaklar, Üreticileri Bellek Güvenli Yol Haritaları Yapmaya Çağırıyor
Chris Riotta (@chrisriotta) •
6 Aralık 2023
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, yazılım geliştiricilerini, programlama dillerindeki kritik güvenlik açıklarını ele alma ve güvenlik sorumluluklarını son kullanıcılardan daha da uzaklaştırma çabasının bir parçası olarak, bellek güvenli kodlamayı uygulamaya yönelik kapsamlı prosedürler oluşturmaya çağırıyor.
Ayrıca bakınız: Davranış Analitiğine İlişkin Nihai Kılavuz
CISA, Çarşamba günü Ulusal Güvenlik Ajansı, FBI ve Avustralya, Kanada, Birleşik Krallık ve Yeni Zelanda’daki siber güvenlik yetkilileriyle birlikte yazılan ve yazılım geliştiricilere “tasarım gereği güvenli”yi benimseyen hafıza açısından güvenli yol haritaları oluşturmak için uygulanabilir adımlar sağlayan kılavuz yayınladı. prensipler. Yazılım kusurları ve yaygın kodlama hatalarından oluşan bir kategori olan bellek güvenliği güvenlik açıkları, açıklanan yazılım güvenlik açıklarının en yaygın türüdür.
CISA Direktörü Jen Easterly, yeni kılavuzu açıklayan bir açıklamada, yazılımdaki güvenlik açıklarının kabaca üçte ikisinin “‘bellek güvenli’ kodlama eksikliğinden kaynaklandığını” söyledi.
Açıklamada, “Rutin olarak istismar edilen bu güvenlik açığının ortadan kaldırılması, ülkemizin siber güvenliğine çok büyük faydalar sağlayabilir, ancak toplu olarak ortak çaba gösterilmesini ve yönetim düzeyinde sürekli yatırım yapılmasını gerektirecektir” deniyor.
Bellek güvenliğine yönelik güvenlik açıkları, bilgisayar korsanlarının bilgisayar belleğine yetkisiz erişim sağlayarak kötü amaçlı yazılım yüklemesine olanak tanıyabilir. Tehdit aktörleri, kılavuza göre “uygulamaları ve sistemleri rutin olarak tehlikeye atmak için” neredeyse bilgisayar belleğinin kendisi kadar eski bir hata olan bellek bozulmasını kullanmaya devam etti.
Kılavuz, bir sistemin çeşitli bölümlerini izole etmek ve potansiyel güvenlik açıklarının kapsamını sınırlamak için korumalı alan oluşturma tekniklerinin kullanılması, bellek korumalarını desteklemek için donanım kullanılması ve tehdit aktörlerinin güvenilir istismarlar oluşturmasını zorlaştırmak için bellek ayırıcılarının güçlendirilmesi gibi öneriler içerir.
CISA, bellek açısından güvenli yol haritalarının yazılım üreticilerinin daha güvenilir kod oluşturmasına yardımcı olurken geliştiricilerin kesintilerini, destek personeli gerektiren acil durumları ve müşterileri etkileyen ihlalleri azaltacağını söyledi. Bellek açısından güvenli dillere başarılı bir şekilde geçiş yapmak için ajans, zorlu bir süreç olabilecek mevcut kodu yeniden yazmak yerine ekiplerin yeni araçlar ve sistemler deneyebilmesi için yeni ve daha küçük projelerle başlamayı önerdi.
Kılavuz aynı zamanda üreticilerin güvenli olmayan bellek bileşenlerini değiştirmelerini, güvenlik açısından kritik kodlara öncelik vermelerini ve entegrasyon, test etme ve öğrenme için zaman planlamalarını da tavsiye ediyor.
Bellek açısından güvenli yol haritaları her zaman net son tarihleri ve sonuçları özetleyen tanımlanmış aşamaları, dahili geliştirici eğitim ve entegrasyon planlarını, C ve C++ ile yazılmış kütüphaneler için harici bir bağımlılık planını, bir şeffaflık planını ve ortak güvenlik açıkları ve risklere yönelik bir destek programı planını içermelidir. rehberliğe.