Geçtiğimiz birkaç yıl boyunca Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA, yazılım üreticilerini Tasarımla Güvenlilik ilkelerini benimsemeye teşvik eden ve ürün geliştirme süreci boyunca güvenliğe öncelik vererek müşteri riskini azaltan sürekli bir kılavuz yayınladı. Bu, endüstriyel kontrol sistemlerindeki ve diğer kritik altyapılardaki güvenlik açıklarının ciddi sonuçlara yol açabileceği operasyonel teknoloji (OT) sektörü için özellikle kritik öneme sahiptir.
Baskı yazılım üreticilerinin üzerinde olsa da, yazılım alıcılarının da görev açısından kritik OT sistemlerinin siber saldırılara karşı dayanıklı olmasını sağlamada oynayacakları büyük bir rol var. CISA buna “Talebe Göre Güvenlik” adını veriyor ve yazılım alıcıları için temel ilkelerden biri, bir kuruluşun yazılım üreticilerinin bellek güvenliği açıklarını ortadan kaldıracak bir plana sahip olmalarını sağlamaktır.
CISA Neden Bellek Güvenliği Açıklarına Odaklanıyor?
Bellek güvenliği açıkları, en yaygın yazılım açıklarından biridir ve sürekli olarak en tehlikeli yazılım zayıflıkları arasında sıralanır. Kritik altyapıyı hedef alan Volt Typhoon kampanyası gibi son zamanlardaki yüksek profilli saldırılar, bu güvenlik açıklarının gerçek dünyadaki etkisini ortaya koydu.
Örneğin, 2021’de programlanabilir mantık denetleyicilerinin, uzaktan kod yürütülmesine izin verebilecek ve potansiyel olarak kritik endüstriyel süreçleri kesintiye uğratabilecek bir bellek bozulması kusuruna karşı savunmasız olduğu tespit edildi. OT sistemlerinin güvenliği ve güvenilirliği açısından önemli bir risk oluşturduğundan, bu tür güvenlik açıklarının ele alınması CISA için önemli bir önceliktir.
Yazılım Üreticilerine Bellek Güvenliği Yol Haritası Hakkında Sorulması Gerekenler
CISA, yazılım üreticilerini, bellek açısından güvenli olmayan dillerde yazılmış mevcut ürünler için 1 Ocak 2026’ya kadar bir bellek güvenliği yol haritası yayınlamaya şiddetle teşvik eden “Bellek Güvenli Yol Haritaları Örneği” hakkında kılavuz yayınladı. Son tarih, yazılım alıcılarının tedarikçileriyle iletişim kurmaları ve bellek güvenliğinin yeterince ele alınıp alınmadığı ve nasıl ele alınıp alınmadığı konusunda görüşmeler başlatmaları için net bir zaman çizelgesi sağlar.
Bellek güvenliği yol haritası oluştururken ve değerlendirirken dikkate alınması gereken birkaç önemli alan vardır.
1. Güvenlik Açığı Değerlendirmeleri: Tedarikçiler, mevcut ürün portföylerindeki bellek tabanlı güvenlik açıklarını belirlemeye ve önceliklendirmeye yönelik bir sürece sahip olmalıdır. Yazılım Malzeme Listesi (SBOM) kullanmak, yazılım içindeki güvenlik açıklarını belirlemek için ideal bir başlangıç noktasıdır (özellikle bir yazılım tedarik zinciri açık kaynak yazarları da dahil olmak üzere birden fazla tarafı içerdiğinde) ve hangi ürünlerin ele alınması gereken en fazla bellek tabanlı güvenlik açığına sahip olduğunu belirler.
2. İyileştirme Stratejileri: Güvenlik açıkları belirlendikten sonra üreticiler, hem bellek güvenlik açıklarına yüksek düzeyde maruz kalan hem de bir saldırının yüksek potansiyel sonuçları olan sistemlere öncelik vermelidir. Tedarikçinin, eski kodu Rust gibi bellek açısından güvenli dillerde yeniden yazma yaklaşımı da dahil olmak üzere, mevcut kod tabanlarında belirlenen güvenlik açıklarını gidermeye yönelik planlarını tartışın. Kodun yeniden yazılması pratik olmayabileceğinden, mevcut sistemler için etkili bir koruma katmanı sağlayan Yükleme Süresi Fonksiyon Rastgeleleştirmesi (LFR) gibi proaktif çözümlerin uygulanması konusunda tedarikçilerle görüşün.
3.Ürün Yaşam Döngüsü Planlaması: Bir tedarikçinin, özellikle yeni ürünler veya büyük mimari değişiklikler geçiren ürünler için bellek güvenliği hususlarını ürün yol haritasına nasıl entegre ettiğini anlayın. Her iki örnek de yeni sistemler veya bileşenler için bellek açısından güvenli bir dilde yazma ve mevcut kod için yazılım belleği korumasını dağıtma fırsatlarıdır.
4.İşbirliği ve İletişim: Bir tedarikçinin, düzenli güncellemeler ve ilerleme konusunda şeffaflık da dahil olmak üzere, hafıza güvenliği çabalarıyla ilgili devam eden işbirliği ve iletişime katılma konusundaki istekliliğini değerlendirin.
Yazılım Alıcıları ve Üreticileri Daha Güvenli Yazılım İçin Birlikte Çalışıyor
Bellek güvenliğine giden yol, yazılım alıcıları ve üreticilerinin planlamasını ve desteğini gerektirir, ancak kritik sistemleri bellek tabanlı saldırılara karşı savunmasız bırakmak günümüzün tehdit ortamında bir seçenek değildir.
Yazılım alıcıları ve üreticileri, bu işbirliğine dayalı ve proaktif adımları birleştirerek, CISA’nın bellek güvenliği talimatlarını yerine getirmek ve kritik OT sistemlerinin genel güvenliğini ve dayanıklılığını artırmak için birlikte çalışabilirler.
Reklam