YORUM
Şuradan: XZ Utils’te arka kapı girişimi devralma ve ardından gelen kötü amaçlı yazılım dağıtımına Polyfill JS projesiyazılım tedarik zinciri saldırıları DevSecOps topluluğunu zorluyor ve en deneyimli profesyonelleri bile şaşırtabiliyor. Bu olaylar, bu tür tehditlerin kaçınılmazlığını ve feci sonuçlara yol açma potansiyelini vurguladı.
Kuruluşlar, yazılım oluşturma ortamlarındaki üç kritik bileşeni vurgulayarak dayanıklılıklarını güçlendirmelidir: görünürlük, yönetişim ve sürekli dağıtım. Kuruluşlar bu alanlara odaklanarak savunmalarını geliştirebilir ve bir sonraki siber saldırıdan kurtulmak için gereken süreyi azaltabilir.
Görünürlük: Dinamik Sistemlerde Durumun Belirlenmesi
Bir güvenlik uygulayıcısının savunduğu yazılım sistemleri hakkında bilebileceği şeyler sınırlı ve geçicidir. Operasyonları bilgilendiren bilgiler, son derece dinamik ve karmaşık bilgi işlem sistemlerinin anlık görüntüleri iken, güvenlik kontrollerinin anlık görüntüleri, güvenlik durumuna ilişkin bir zaman noktası referansı görevi görür. Yapay zeka, bazı güvenlik kontrollerini daha dinamik ve uyarlanabilir olacak şekilde değiştiriyor, ancak günümüzdeki güvenlik sınırlarının büyük çoğunluğu statik veya sezgisel tabanlıdır.
Tersine, büyük ölçekli bilgi işlem ortamlarındaki bilinmeyenlerin sayısı herhangi bir anda neredeyse sınırsızdır. Kod her gün yüzlerce ila binlerce kez güncellenir, altyapı değişiklikleri önceden tanımlanmış güvenlik sınırlarını silebilir ve yukarı akış bağımlılıkları büyük güvenlik etkilerine sahip olabilir.
Bir sonraki istismara hazırlanmak için, güvenlik profesyonellerinin ortamları hakkında gerçek zamanlı bir anlayışa sahip olmaları ve bilinmeyenlerin sayısını azaltmaları gerekir. Örneğin, bir yazılım malzeme listesi (SBOM) kullanmak, yazılımda kullanılan bileşenlerin kapsamlı bir envanterini sağladığı ve yeni tehditler ortaya çıktığında savunmasız bileşenlerin hızla tanımlanmasını sağladığı için ticari ve açık kaynaklı yazılımlar (OSS) için de önemlidir. Envanterler, herhangi bir varlık için kanonik kaynak olarak hizmet etmeli, dizinlemeyi, genişletilebilir API’leri ve sorgulanabilir arayüzleri destekleyerek bunların faydasını ve değerini en üst düzeye çıkarmalıdır.
Bir kuruluşun yazılımının yaşını anlamak, güvenlik yaklaşımlarını bilgilendirmeye de yardımcı olabilir. Eski hizmetler, daha sık dağıtılmadıkları veya daha az sıklıkla bakım yapılmadıkları için daha fazla üçüncü taraf saldırısına veya güvenlik açığına maruz kalırlar. Öte yandan, yeni yazılımlar, iş mantığı kusurları veya daha az yaygın olarak tamamen yeni saldırı sınıfları gibi “birinci taraf” sorunlarına daha yatkındır. Yeni ve eski yazılımları birleştirmek, yeniden tanımlanmış veya artık etkili olmayan güvenlik sınırları varsayımlarıyla risk oluşturabilir.
Yönetişim: Yazılım Tedarik Zincirlerini Yönetmek
Bir organizasyonun yazılım sistemlerini anlamak yeterli değildir. İyi yönetişim -güvenli uygulamaları garanti eden politikalar, süreçler ve kontroller çerçevesi, liderlikten denetimle- yazılım yaşam döngüsü boyunca güvenlik önlemlerinin ve hesap verebilirliğin tutarlı bir şekilde sürdürülmesi için esastır.
Birkaç husus vardır: güvenli tasarıma sahip yazılım oluşturma:
-
Yazılım güvenliğinin sağlanması için yeniden üretilebilir yazılım oluşturma ve hizmet başına ölçümleri sürdürme
-
Güvenlik sınırlarının beklendiği gibi çalıştığından emin olmak için kontroller gerçekleştiriyoruz
-
Önceden oluşturulmuş altyapı-kod tasarım kalıplarını kullanma
-
Güvenlik operasyonları ve güvenlik açığı uyarı ekipleri ve araçları tarafından kullanılabilecek SBOM’lar oluşturma
-
Varsayılan olarak güvenli ilkelerine uyulmasını sağlamak için güvenlik kontrollerinin otomatikleştirilmesi
-
Verimliliği artırmak, hataları azaltmak ve geliştirme sürecine ilişkin daha derin içgörüler sağlamak için AI doğrulamasını SDLC’ye entegre etmek
-
Bulut hizmetleri, uygulamalar, ağlar ve veriler genelinde güvenlik politikalarının yönetimini ve uygulanmasını otomatikleştirmek için politikayı kod olarak uygulamak, tutarlı ve kapsamlı güvenlik kapsamını garantilemek
-
Tasarım gereği arıza alanlarını kısıtlayan güvenlik sınırlarının tasarlanması
Kuruluşlar ayrıca daha fazla OSS güvenliği için bir açık kaynak program ofisi (OSPO) kurmayı da düşünebilirler. Bu ekipler OSS kullanımını yönetir, güvenlik uygulamalarını denetler, açık kaynak topluluğuyla ilişkileri geliştirir, en son güvenlik ve uyumluluk gelişmeleri hakkında güncel kalır ve açık kaynak bileşen güvenilirliğini ve güvenliğini izler.
Sürekli Değerlendirme: Bilinmeyenleri Öngörmek
Yazılım tedarik zinciri güvenlik açıkları karşısında bir ortamı sürekli olarak test etmek ve izlemek, kurumsal dayanıklılık için hayati önem taşır. Kod değişikliklerinin otomatik olarak test edildiği ve otomatik testleri geçer geçmez üretime dağıtıldığı, bazen günde yüzlerce veya binlerce kez, sürekli dağıtım, yazılım kalitesini iyileştirmek ve dağıtımı hızlandırmak için tüm dağıtım sürecini otomatikleştirerek sürekli entegrasyon ve dağıtımın ötesine geçer. Ancak, sürekli dağıtım yalnızca görünürlük ve yönetişim bileşenleri yerinde olduğunda mümkündür.
Birçok geliştirici test yazmaktan nefret eder ve test kapsamı neredeyse her zaman ekiplerin zamanları olsaydı isteyeceğinden daha düşüktür. Birim ve bütünleştirme testleri de dahil olmak üzere kapsamlı test kapsamı, bir ortamın her parçasının izole bir şekilde ve diğer bileşenlerle etkileşim halindeyken hatalar açısından kontrol edilmesini sağlar. Bu, üretken AI’nın (GenAI) sıkıcı işi otomatikleştirmede veya hızlandırmada büyük ölçüde yardımcı olabileceği bir alandır. Bu, mühendislik ekiplerine yalnızca hızla değil, aynı zamanda yazılımlarının güvenliğini ve dayanıklılığını sürekli olarak onaylayarak fayda sağlar.
Otomatik güvenlik sınırı denetimi aynı şekilde güvenlik çevrelerinin sıkı ve iyi korunduğunu doğrular ve olası ihlallere karşı birinci savunma hattı görevi görür. Üretim ortamlarını izlemek, bir güvenlik sorununa işaret edebilecek tutarsızlıkları veya beklenmeyen davranışları yakalamak için de önemlidir. Son olarak, envanterleri eksiksiz ve tutarlı tutmak için sürekli programlı keşif çok önemlidir.
Bilinmeyenlere Karşı Dayanıklılık Oluşturmak
Siber dayanıklılık testi, bir organizasyonun bir sonraki güvenlik tehdidinin önünde kalmak için güvenlik duruşunu uyarlama ve geliştirme yeteneğidir. Hazırlık için, güvenlik profesyonelleri yazılım ekosistemlerinin etkili yanıt ve dayanıklılık için iyi bir şekilde donatıldığından ve tanımlamadan düzeltmeye kadar maruz kalma penceresini en aza indirdiğinden emin olmalıdır.
Görünürlük yoluyla anlayarak, yönetişim yoluyla yöneterek ve sürekli dağıtım yoluyla öngörerek, kuruluşlar bir sonraki tedarik zinciri saldırısına daha iyi hazırlanacaktır.