Veracode’a göre, kamu sektörü kuruluşları tarafından geliştirilen uygulamalar, özel sektör tarafından oluşturulan uygulamalardan daha fazla güvenlik açığına sahip olma eğilimindedir.
Bulgular dikkat çekicidir çünkü uygulamalardaki kusur ve güvenlik açıklarının sayısındaki artış, artan risk düzeyleriyle ilişkilidir. Araştırma, kritik hükümet işlevlerini yerine getiren uygulamalardaki güvenlik açıklarını azaltma çabaları da dahil olmak üzere, federal hükümetin siber güvenliği güçlendirmeye yönelik son girişimlerinin bir telaşının ortasında geliyor.
Kamu sektörü kuruluşlarında güvenlik açıkları
Araştırmacılar, kamu sektörü kuruluşları tarafından geliştirilen uygulamaların %82’sinden biraz daha azının, özel sektör kuruluşlarının %74’üne kıyasla, son 12 ayda yaptıkları son taramada en az bir güvenlik açığının tespit edildiğini buldu. İzlenen kusurun türüne bağlı olarak, kamu sektörü uygulamalarının son 12 ayda ortaya çıkan bir kusura sahip olma olasılığı %7-12 daha yüksekti.
“Kamu ve özel sektör uygulamalarında kusurların ortaya çıkma oranı arasındaki fark önemli. Hükümetin açığı kapatma çabaları gereklidir ve devam etmelidir. Veracode Baş Araştırma Görevlisi Chris Eng, kamu güvenliği görevlileri olarak ajansların bu açığı kapatma ve ulusu ve vatandaşlarını korumak için güvenliği güçlendirme sorumluluğuna sahip olduğunu söyledi.
Bilgisayar korsanları yazılım kusurlarından ve güvenlik açıklarından yararlandığında ortaya çıkan sonuçları rakamlar tek başına yansıtmaz. Bu yılın Mayıs ayı başlarında, Dallas şehrine yönelik bir fidye yazılımı saldırısı, kamu güvenliği kurumları tarafından kullanılan BT sistemleri de dahil olmak üzere kamu hizmetlerinin sunulmasına bağlı işlevleri aksattı. Saldırının gerçekleşmesinden üç haftayı aşkın bir süre sonra, Dallas’ın kamu kurumları tam olarak iyileşememişti.
Yüksek önem dereceli kusurlar
Veracode’un araştırması, kamu sektörü kuruluşlarının uygulama güvenliği konusunda iyimser olmaları için nedenler de buldu. 12 aylık dönemde kamu sektörü başvurularında (%16,5) “yüksek önem dereceli” kusur keşfi, kamu dışı başvurulara (%19) göre daha düşüktü.
Bu dikkate değer çünkü yüksek önemdeki kusurlar istismar edildiğinde sistemleri olumsuz yönde etkilemek için daha büyük bir potansiyele sahip.
Modern uygulama testi, statik uygulama güvenlik testi (SAST) ve yazılım kompozisyon analizi (SCA) gibi birden çok türde güvenlik tarama aracının kullanılmasını teşvik eder çünkü farklı tarama türleri, farklı kusur türlerini ortaya çıkarmada mükemmeldir. SAST ve SCA, özel sektör uygulamalarına kıyasla kamu sektörü kurumlarının daha küçük bir yüzdesinde uygulama kusurları buldu.
SCA araçlarını kullanırken daha az kusur bulmak, ABD federal kurumlarını yazılım tedarik zincirini koruma çabalarını canlandırmaya yönlendiren Mayıs 2021 Yürütme Kararının (EO 14028) ilk etkisinin sinyalini verebilir. Bu EO ayrıca, yazılımdaki bileşenleri listeleyen yazılım malzeme listelerinin (SBOM’ler) daha fazla kullanılmasını ve böylece bilgi paylaşımını, şeffaflığı ve görünürlüğü teşvik eder.
Diğer yerlerde, Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), bulut ürün ve hizmetlerinin güvenlik değerlendirmesini standart hale getirir. Benzer şekilde StateRAMP, eyalet ve yerel yönetimlerin bulut hizmeti sağlayıcılarının siber güvenlik politikalarına uygunluğunu doğrulamasını sağlar.
Eng, “Modern BT sistemleri geliştikçe ve daha karmaşık hale geldikçe, uygulama kusurlarının taksonomisi daha çeşitli hale geldi” dedi. “Bu nedenle, kusurları bulmak ve düzeltmek için birden fazla tarama türünün kullanılması en iyi uygulama haline geldi.”
Kamu sektörü özel sektörün gerisinde
Kamu ve özel sektör uygulamaları arasındaki en büyük fark, taramaların eskiyen yazılımlarda yeni kusurları keşfetme hızıdır. Yazılım üretimine beş yıl kala, iki sektör keskin bir şekilde birbirinden ayrılıyor: özel sektör uygulamalarında ortaya çıkan yeni açıkların oranları artarken, kamu sektörü kurumlarının oranları düşüyor.
Bu eğilim, kamu sektörü kurumlarının, uygulamaları yalnızca yaşam döngüsünün ilk birkaç yılında değil, zaman içinde güvenli tutma konusunda daha dikkatli olduğunu göstermektedir. Hükümet dışındaki uygulamalar ise, aksine, eskidikçe yeni kusurların ortaya çıkmasında kademeli ve istikrarlı bir artış yaşarlar.
Kurumların siber güvenlik duruşlarını iyileştirmek için alabileceği dört eylem:
- Yetişmek: bilinen kusurların birikmiş listesini düzeltin
- Düzenli olarak tarayın: tutarsız tarama, kusurları düzeltmeyi zorlaştırarak daha fazla birikmiş işlere yol açar
- Otomatikleştirmek: API’ler aracılığıyla testin otomatikleştirilmesi, kusurların uygulamalara girmesini azaltır
- Yığına DAST ekle: diğer tarama türlerinin gözden kaçırdığı kusurları keşfetmek için dinamik taramayı kullanın
“Kamu sektörü, hükümetimize hizmet eden uygulamaların güvenliğini güçlendirmede uzun bir yol kat etti, ancak kurumların siber duruşlarını iyileştirmeleri ve gelen tehditleri püskürtmeleri için yapılması gereken daha çok iş var. Ajanslar, güvenlik çabalarını çoğu siber ihlalin temel nedenine (uygulama katmanı) odaklayarak gerekli iyileştirmeleri sağlayabilir. Eng, çeşitli test türleriyle düzenli olarak tarama yapmak ve güvenlik borcunu (bir sistemin güvenliğini tehdit eden birikmiş yazılım açıkları) ele almak, devlet kurumları için daha güvenli bir geleceğe giden yolu açacaktır.”