YORUM
Nisan ayında, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın Tasarımla Güvenli Girişimi ilk yaş gününü kutladı. CISA o anı kutladı bir blog yazısı ile geçen yılki başarılarını özetledi.
Bir yıl önce, güvenli tasarımın savunucuları girişimin başlatılmasını memnuniyetle karşıladılar, özellikle de girişimin çok hızlı bir şekilde takip edilmesi nedeniyle. Ulusal Siber Güvenlik StratejisiGüvenli tasarımı, Biden Yönetimi’nin güvenli olmayan yazılımlarla başa çıkma yaklaşımının kritik bir ilkesi haline getiren.
CISA, girişimin genel amacının “güvenlik sorumluluğunu son kullanıcılardan teknoloji üreticilerine aktarmak” olduğunu söylüyor. Peki ne kadar başarılı oldu?
Bu onun birinci sınıf karnesi.
Farkındalığı Artırmak
CISA’nın güvenli tasarıma odaklanması ve bunu siber gündemde tutmak için gösterdiği ortak çaba, bunun önemi konusundaki farkındalığı önemli ölçüde artırdı. Ajans yola çıktı ilkeler ve rehberlik teknoloji sağlayıcıları ve yazılım geliştiricileri için güvenli tasarımın uygulanmasına yönelik ve düzenli güncellemeler sağlayan Blog Ve uyarılarsürekli bir haber ve bilgi akışı sağlamak.
Ayrıca, güvenli tasarım ilkelerine uyum sağlayan göz alıcı küresel girişimler de 16 diğer ülke ABD sınırlarının ötesine geçti ve medyanın dikkatinin konuya odaklanmasına yardımcı oldu.
CISA’nın etkisi, erişimi ve tasarım yoluyla güvenlik farkındalığını artırmak için sağladığı kaynaklar büyük bir fark yarattı ve artık yazılım ve ürün güvenliğine ilişkin günlük konuşmaların çok daha fazla bir parçası haline geldi. Şüphesiz bir başarı.
A notu
Pratik Eylem
Ulusal Siber Güvenlik Stratejisi’nin tasarım açısından güvenli olan büyük başlığı, yazılım sağlayıcılara güvenlik sorumluluğunun getirileceğinin duyurulmasıydı. Şubat güncellemesinde Ulusal Siber Direktör Harry Coker’in söylediği bildirildi ofisinin bir sorumluluk rejimi geliştirmek için akademisyenler ve hukuk uzmanlarıyla birlikte çalıştığını söyledi.
Sorumluluğun getirilmesi mevzuat ve siyasi destek gerektirecektir; bu tek başına CISA tarafından yapılamaz. Ancak, yazılımın piyasaya çıktığında güvenli bir şekilde tasarlanmasını sağlayacak şekilde sorumluluğu gerçekten son kullanıcılardan üreticilere aktarmak, üreticilerin sorumlu tutulmasını gerektirecektir. Bu oyunun kurallarını değiştirecek; o olmadan ilerleme ihtiyacımız olduğu kadar hızlı olmayacak.
Ancak biz bu yasayı beklerken başka önemli adımlar da atıldı. Federal hükümete yazılım sağlayan şirketlerin artık güvenli geliştirme uygulamalarını kullandıklarını kanıtlamaları gerekiyor. Güvenli tasarımın kamu ihale süreçlerine dahil edilmesi ve dolayısıyla zorunlu hale getirilmesi ileriye doğru atılmış büyük bir adımı temsil ediyor.
B seviyesi-
Detaylara dikkat
CISA’nın tasarım gereği güvenli rehberliği, yalnızca insanlara bir şeyi yapmaları talimatını vermekle kalmayıp, aynı zamanda onlara bunun nasıl yapılacağını gösterme isteğini de ortaya koydu.
Ancak kılavuz, güvenli tasarımın temel unsuru olan tehdit modellemenin nasıl devreye alınacağını açıklamada yeterince ileri gitmedi.
Etkili tehdit modelleme, güvenli yazılım tasarlamanın ön koşuludur ve başlangıçtan itibaren güvenli yazılım oluşturmanın en iyi yoludur. CISA’nın rehberliğine yanıt olarak, dünya lideri bir grup tehdit modelleyicisi ve yazarları “Tehdit Modelleme Manifestosu” ortak bir yazı yazdı CISA’ya mektup teşvik etmek için tasarım yoluyla güvenlik konusunda gelecekte rehberlik ihtiyacını ortaya koymak tehdit modellemesinin benimsenmesi.
CISA, tehdit modeli şeffaflığı da dahil olmak üzere tehdit modelleme hakkında daha fazla bilgi içerecek şekilde kılavuzunu güncelledi. Ancak daha da ileri gitmeli ve tehdit modellemenin nasıl etkili bir şekilde uygulanabileceğini daha ayrıntılı olarak ortaya koymalıdır.
Sınıf: C
Gelecek vizyonu
Güvenli tasarım konusundaki çalışmalarını genişletirken, CISA odaklanılması gereken üç yeni alan belirledi: Müşterileri “talebe göre güvenlik” konusunu düşünmeye teşvik etmek; yazılım güvenliğini etkileyen ekonomik güçleri anlamaya çalışmak; ve güvenliği bilgisayar bilimi ve kodlama programlarına dahil etmek için eğitim topluluklarıyla birlikte çalışmak.
Bunların hepsi önemli alanlardır ve daha önce olanlar kadar iddialı olmasalar da son derece memnuniyetle karşılanırlar. Geliştirici deneyiminin ve güvenlik anlayışının eksikliği önemli bir sorundur ve eğitime odaklanmak özellikle önemli olacaktır. Gelecek nesil geliştiricilere beceri kazandırmanın yanı sıra, bugün yazılım tasarlayanların eğitimini desteklemek için de daha fazlasının yapılması gerekiyor.
Sınıf: B+
Final notu
Biden yönetiminin Ulusal Siber Güvenlik Stratejisinde ve ardından gelen uygulama planında tasarım yoluyla güvenliğin önemini kabul etmesi, yazılım geliştirme endüstrisinin gerçekten yukarı bakmasını sağlayan büyük bir andı.
CISA’nın Secure by Design’ı hızla takip ederek hükümetin ciddi olduğunu ve kısa sürede kayda değer ilerleme kaydedildiğini gösterdi.
Oyunu gerçek anlamda değiştirecek olan sorumluluk mevzuatı muhtemelen hâlâ çok uzakta, ancak federal satın alma kurallarında tasarım yoluyla güvenlik oluşturmak için önemli geçici adımlar atıldı; pratik sonuçları olan gerçek bir niyet beyanı.
Özellikle insanlara güvenli tasarımın gerçek anlamda uygulanmasını mümkün kılan araçların sağlanması konusunda yapılacak daha çok şey var, ancak şu ana kadar girişim başarılı oldu.
Genel not: B+