Dalış Özeti:
- Federal siber yetkililer, yazılım satıcılarının artık “eklemi sınıflandırÜrünlerindeki tüm kusur sınıflarını, kodlama hatalarını ve güvenlik açıklarını ortadan kaldırarak.
- Yazılım kusurları, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın, satıcıların bu hataları en başından düzelterek saldırıları önleyebileceklerini belirlemeleri durumunda altını çizdiği tekrar eden bir sorundur.
- CISA Kıdemli Teknik Danışmanları Bob Lord ve Jack Cable ile Kıdemli Danışman Lauren Zabierek şunları söyledi: “Özellikle dikkate değer olan şey, bu kusur sınıflarının çoğu için bunları büyük ölçekte önlemenin yollarını yıllardır, hatta on yıllardır biliyor olmamızdır.” Pazartesi günü bir blog yazısında.
Dalış Bilgisi:
CISA’nın yazılım geliştirme sürecindeki bu hataları düzeltmeleri için yazılım satıcılarına uyguladığı baskı geniş kapsamlıdır ve kurumun güvenlik sorumluluğunun yükünü müşterilerden satıcılara aktarma çabasıyla tutarlıdır.
Ancak bazı siber güvenlik uzmanları kamuoyu baskısı kampanyasının başarısızlıkla sonuçlanmasını bekliyor.
Hükümet yetkilileri ile sektör paydaşları arasındaki teknik konulardaki bu ileri geri diyalog, “sonsuz bir döngü” ve sonuçta verimsiz. Allison Nixon, Birim 221B’nin baş araştırma görevlisi.
CISA tasarım gereği güvenli ilkelerini açıkladı Nisan 2023’te ve sürekli olarak vizyonunu paylaşıyor üreticilerin güvenliği ürünlerine ve uygulamalarına nasıl dahil etmeleri gerektiği konusunda.
Ajans yakın zamanda açıkladı tasarım gereği güvenlik taahhüdü68 satıcının geçen hafta San Francisco’daki RSA Konferansında imzaladığı anlaşma. Bu çaba, yazılım firmalarının siteler arası komut dosyası oluşturma (XSS), SQL enjeksiyonu, dizin geçişi ve bellek açısından güvenli olmayan diller gibi hatalı kodlamayı kullanmayı bırakmasını gerektiriyor.
Ancak sorun devam ediyor ve ilerleme eksikliği, CISA’nın köklü yazılım geliştirme uygulamalarını değiştirme konusundaki sınırlı yeteneğinin altını çiziyor.
Bu kusur sınıflarının çoğu, sektöre zarar vermeye devam ediyor ve şirketlere ve devlet kurumlarına ciddi zararlar veriyor. CISA, bunları bir arada gruplayarak, sektörün her bir kusuru tek tek ele almanın ötesine geçmesine yardımcı olabilecek modelleri tespit etmeyi umuyor.
Danışmanlar, bazı yazılım şirketlerinin en yaygın kodlama hatası sınıflarını ortadan kaldırdığını ancak sektörün bir bütün olarak yeterli ilerleme kaydetmediğine dair kanıtların bulunduğunu söyledi.
Nixon’a göre anlamlı değişim, davranış kalıbını durduracak kaynaklara, iradeye ve güce ihtiyaç duyar.
Nixon, “Hükümet insanları endüstriden kaçırabilseydi, içilebilecek kadar eski böcek kategorileri hakkında ders vererek herkesin zamanını boşa harcamazdı” dedi.
Nixon’a göre federal hükümet, kusurlu kodlara odaklanmak yerine, avukatların siber güvenlik çalışmalarına müdahale etmesini önlemek ve uzun vadeli maliyetleri kısa vadeli kazanç karşılığında alıp siber güvenliğe zarar veren şirketleri cezalandırmak için önlemler alarak daha büyük bir etki yaratabilir.
Nixon, “Bunlar kurumsal Amerika’da güvensiz yazılımların gerçek temel nedeni olan yaygın, yıkıcı kalıplardır” dedi.
CISA düzenleyici güçten yoksun Şirketleri tavsiyelerini yerine getirmeye zorlamak. Bunun yerine ajans, tasarım gereği güvenli girişiminin yaygın olarak benimsenmesi konusunda ilerleme kaydediyor.
CISA danışmanları blog yazısında, programın üretim sırasında müşteri sistemlerinde görülen kusurlarla Whac-A-Mole oynamayı bırakmanın gerekliliğini vurguladığını söyledi.
CISA danışmanları blog yazısında “Diğer sektörlerde temel neden analizi yapmak ve kusur sınıflarını ortadan kaldırmaya yönelik çalışmak normdur” dedi. “Yazılım endüstrisinde norm haline gelmesinin zamanı çoktan geçti.”