Bu Help Net Security röportajında, Eclypsium Tehdit Araştırması ve İstihbarat Direktörü Nate Warfield, tedarik zincirlerini koruma ve kapsamlı görünürlük elde etme konusunda CISO’lar için önemli görevlerin ana hatlarını çiziyor.
Warfield ayrıca güvenlik ve geliştirme ekipleri arasındaki hayati işbirliğini, tedarik zinciri güvenlik stratejilerinin küresel düzenlemelere uyarlanmasını ve dağıtım hızının güvenliği tehlikeye atmasını önlemek için proaktif önlemlere olan ihtiyacı tartışıyor.
Kuruluşlarının tedarik zincirlerini korumak ve genel görünürlüğü artırmak için CISO’ların yönetmesi gereken ana görevler nelerdir?
Her şeyden önce, veri merkezlerinden resepsiyondaki telefonlara, güvenlik sistemlerine, erişim kontrolüne vb. kadar ortamlarındaki tüm teknoloji bileşenlerini tanımlamaları gerekir. Şirket ne kadar büyükse, eski teknoloji hâlâ kullanımda olduğundan bu durum o kadar zorlayıcı hale gelir. , bir satın almanın parçası olarak gelmiş olabilecek teknoloji (özellikle sunucular ve altyapı) ve çalışanların kullandığı sayısız BYOD.
Bu listedeki her öğenin, satıcıya ve cihaz modeline göre farklılık gösterecek bir tedarik zinciri vardır. (En az) iki farklı tedarik zinciri vardır: donanım ve yazılım. Yazılım tedarik zinciri bu ikisinden daha olgun olanıdır, çünkü SBOM kavramı yıllardır ortalıkta dolaşıyor ve özellikle açık kaynak söz konusu olduğunda bunun tanımlanması daha kolay olabiliyor. Kapalı kaynak çözümleri, birçoğu açık kaynak bileşenleri içerdiğinden (Log4J’yi düşünün) benzersiz zorluklar yaratır ve bu, denetim sırasında daha az belirgin olabilir.
Kimlik belirleme süreci hiçbir zaman “tamamlanmayacak”. Özellikle büyük miktardaki teknolojinin ve teknik borcun neredeyse bir gecede devralınacağı birleşme ve satın almalar sırasında, organizasyonda kullanılan herhangi bir yeni teknoloji üzerinde gerçekleştirilmesi gerekecektir.
Yalnızca kuruluşun teknoloji yığınının uçtan uca bilinmesiyle önemli miktarda görünürlük sağlanabilir; Güvenlik açıkları ortaya çıktığında kuruluş ideal olarak bunların etkilenip etkilenmediğini birkaç saat içinde belirleyebilmelidir. Günler/haftalar halinde ölçülen keşif zaman çizelgeleri kabul edilemez; özellikle de saldırganlar güvenlik açıklarından, ifşa edildikten sonraki 1-3 gün içinde geniş ölçekte yararlanıyor ve bir yamayı dağıtmak için birkaç gün bile kurumu riske atıyor.
Satıcılar temel işletim sistemlerinin ne olduğunu, hangi açık kaynaklı yazılımı kullandıklarını, cihazlarının donanım bileşenlerini nereden temin ettiklerini, hangi donanım yazılımının hem cihazın kendisini çalıştırdığını açıklamayı tercih edebilecekleri ya da etmeyebilecekleri için bir donanım tedarik zincirinin denetlenmesi katlanarak daha zordur. ve alt bileşenleri – örneğin bir yönlendirici, açık kaynaklı bir yönlendirme arka plan programıyla bir Linux dağıtımını, Supermicro’dan bir anakartı, Mellanox’tan yüksek hızlı NIC’leri, ASPEED’den bir temel kart yönetim denetleyicisini ve kendisi de başka bir sürüm olan AMI’den BMC kodunu çalıştırabilir. Linux’un kendi SBOM’u var.
Yazılım tedarik zinciri güvenliğinde güvenlik ve geliştirme ekipleri arasındaki belirgin kopukluk nedeniyle işbirliğini geliştirmek için hangi stratejileri önerirsiniz?
Olgun bir yazılım yaşam döngüsü, erken ve sıklıkla bir güvenlik ekibini içermelidir. Her iki ekip de rollerinin tamamlayıcı olduğunu ve kuruluşun ve müşterilerinin başarısına yardımcı olduğunu anlamalıdır.
Günümüzün büyük bir sorunu, birçok kuruluşta güvenlik ekiplerinin yalnızca projenin sonunda “son imzanın” bir parçası olarak dahil olmasıdır. Bu, geliştiriciler ve güvenlik mühendisleri arasında sürtüşmeye neden olur; ikisi de birbirini sorunun kaynağı olarak görebilir: “Eğer bu geliştiriciler sadece güvenli kod yazsaydı herkesin hayatı daha kolay olurdu.” ve “Harika, güvenlik ekibi bir sürü hata bulacak ve lansmanımızı erteleyecek. Tekrar.”
Tasarımın ve kapsam belirlemenin ilk aşamalarında güvenlik ekiplerini geliştirme sürecine dahil eden ve geliştirme süreci sırasında birkaç güvenlik incelemesine sahip olan kuruluşlar, hataların döngünün başlarında ele alınmasına olanak tanır ve güvenlik ekibine, geliştiricileri standart güvenli olmayan kodlama uygulamaları konusunda eğitme fırsatı sunar. .
Hiçbir çözüm mükemmel olmasa da Microsoft gibi şirketlerin HyperV’yi geliştirirken benimsediği bu yaklaşım, son dakika gecikmelerinin ve ekipler arasındaki düşmanlığın önlenmesine yardımcı oluyor.
CISO’lar tedarik zinciri güvenliği stratejilerini yeni küresel siber güvenlik düzenlemelerine ve standartlarına nasıl uyarlamalıdır?
Bu zorlayıcı bir soru. Tedarik zinciri güvenliği, aralıksız güvenlik açıkları, sıfır gün istismar kampanyaları, fidye yazılımları ve hem KOVİD hem de KOVİD sonrası dünyada çalışmanın getirdiği zorluklar nedeniyle kuruluşların ikinci plana atmış olabileceği nispeten yeni bir kavramdır.
Bir tedarik zinciri stratejisine olan ihtiyacı anlamak ve buna öncelik vermek en büyük zorluktur ve sorun karmaşıktır. Yönetici, geliştirme, güvenlik ve hukuk ekipleri arasında işbirliği gerektirecek ve strateji, kuruluşa ve iş modeline göre değişecektir.
Kuruluşlar dijital hizmetleri hızla benimserken, dağıtım hızının tedarik zinciri güvenliğinden ödün vermemesini sağlamak için ne gibi önlemler önerirsiniz?
Tedarik zinciri güvenliğinin, geliştirme yaşam döngüsünün başlarında bir öncelik olması gerekir. En azından açık kaynak kitaplıkları ve bileşenleri bilinen güvenlik açıkları açısından denetlenmelidir ve bir bileşenin güvenlik açığı geçmişine bakmak faydalı olacaktır.
Her ürün için üçüncü taraf bileşenlerin (donanım veya yazılım) bir bildirimi tutulmalıdır, böylece yeni güvenlik açıkları iş üzerindeki olası etkileri açısından hızlı bir şekilde tetiklenebilir. Güvenlik açıkları bulunacak; bu kaçınılmazdır ancak tüm bağımlılıkları konusunda güçlü bir anlayışa sahip bir kuruluş, yeni güvenlik açıkları ortaya çıktığında veya istismar edildiğinde yanıt vermeye daha hazırlıklıdır.
Yapay zeka ve makine öğrenimi siber güvenlikte daha yaygın hale geldikçe tedarik zinciri güvenliğinin sonuçları nelerdir ve CISO’lar bu teknolojilerden etkili bir şekilde nasıl yararlanabilir?
AI/ML en sonunda hem beyaz hem de siyah şapkalı güvenlik açığı araştırmaları için kullanılacak. Saldırganlar zayıf noktaları ve gözden kaçan kitaplıkları arayarak bilgi işlem yığınının daha aşağılarına doğru ilerlemeye devam ettikçe bu durum ekosistemi geniş ölçekte etkileyecektir; örneğin NPM, sayısız modüle kötü amaçlı kod payına düşenden daha fazlasını eklemiştir.
Bunun tam olarak kapsamını ve kapsamını bilmek için henüz çok erken ve AI/ML’nin güvenlik açıklarını mevcut tersine mühendislik, fuzzing ve kod inceleme yöntemlerinden daha hızlı veya daha etkili bir şekilde bulup bulamayacağı tartışmaya açık. Bir kuruluşun yapabileceği en iyi şey, olasılığa yönelik planlama yapmaya başlamak ve AI/ML’yi geliştirme yaşam döngüsüne entegre etmek için bir yol haritasına sahip olmaktır.