Federal yetkililer, özellikle operasyonel teknoloji ve endüstriyel kontrol sistemi satıcıları genelinde risk yönetimini iyileştirmek amacıyla kritik altyapı sağlayıcıları tarafından kullanılan açık kaynaklı yazılımların güvenliğini güçlendirmeye çalışıyor.
Kritik altyapı sağlayıcıları, son yıllarda hem ulus devlet tehdit aktörlerinden hem de fidye yazılımı gruplarından kaynaklanan artan kötü niyetli saldırı riskleriyle karşı karşıya kaldı. Siber Güvenlik ve Altyapı Güvenliği Ajansı ve diğer federal kurumlar Salı günü açık kaynaklı bir güvenlik kılavuzunda bunu söyledi.
Kritik altyapı sağlayıcıları bağlantılı altyapıya daha bağımlı hale geldikçe, yazılımdaki güvenlik açıkları ve diğer güvenlik riskleri, kilit sektörleri etkileyebilecek kritik tedarik zinciri kesintileri tehdidini artırıyor.
Ortak Siber Savunma İşbirliği ile birlikte oluşturulan kılavuz, kritik altyapı sağlayıcılarını ve satıcılarını aşağıdakiler de dahil olmak üzere genel riski azaltmak için tasarlanmış temel girişimler geliştirmeye çağırıyor:
- OSS geliştirme ve bakımında satıcı desteği: Açık kaynak yazılımlar genellikle ücretsiz gönüllüler ve Açık Kaynak Güvenlik Vakfı, DigitalOcean ve NumFocus gibi kuruluşlar tarafından geliştirilir ve bu bakımcıların kritik projeleri sürdürme çabalarını sürdürmelerine yardımcı olacak kaynaklar sağlar.
- Güvenlik açıklarını yönetme: Kuruluşlar koordineli güvenlik açığı açıklama programları geliştirmeli, güvenlik açığı araştırmalarını desteklemeli ve güvenlik açıklarını ilgili geliştiricilere rapor etmelidir.
- Yama yönetimi: Kuruluşlar kapsamlı varlık envanterleri geliştirmeli, acil durum yama prosedürleri geliştirmeli ve OT/ICS ortamlarında yama dağıtımını teşvik etmelidir.
- Kimlik doğrulama ve yetkilendirme politikalarını iyileştirin: Çok faktörlü kimlik doğrulamayı uygulayın, sabit kodlanmış kimlik bilgilerinden ve varsayılan şifrelerden kaçının ve bireysel kullanıcıları benzersiz şekilde tanımlayan hesapları kullanın.
Rockwell Automation Başkan Yardımcısı ve ürün emniyeti ve güvenlik sorumlusu Tony Baker, e-posta yoluyla şunları söyledi: “Bir sektör olarak, OSS’nin müşterilerimize değer sunma konusunda sağladığı fayda inkar edilemez.”
Baker, “Ancak satıcılar olarak bunun maliyetsiz olmadığını ve portföyü başarılı bir şekilde sürdürmek için ek çaba ve yatırım gerektiğini anlamak önemlidir” dedi.
Cyolo’nun baş OT/ICS güvenlik stratejisti Kevin Kumpf, kılavuzun açık kaynak yazılımın ne olduğuna dair iyi bir genel bakış sağladığını ve aynı zamanda bilgi teknolojisi ile operasyonel teknolojinin yakınsamasını açıklamaya yardımcı olduğunu söylüyor.
Kumpf, e-posta yoluyla şunları söyledi: “Günümüzün önemsiz olmayan yazılım geliştirme projelerinde, herhangi bir OSS bileşeni olmayan yazılım bulmak neredeyse imkansızdır.”
Kritik altyapı sağlayıcılarını koruma konusunda uzmanlaşmış bir firma olan OPSWAT’ın baş ürün sorumlusu Yiyi Miao’ya göre, açık kaynaklı yazılım güvenlik açıkları birden fazla düzeyde maruziyete neden olabileceğinden, şirketlerin donanım, yazılım ve bellenim için bir varlık envanteri tutması kritik önem taşıyor.
Miao, “OSS güvenlik açıklarından bazıları, belirli ülkelerden veya belirli ülkelerdeki belirli bir satıcının hedeflenmesini içerebilir” dedi.
Miao, hangi ürünlerin dağıtıldığını ve nereden satın alındığını anlamak aynı zamanda “olaylara daha hızlı müdahale için kritik bir dayanak noktası” olabileceğini söyledi.