RSA Konferansı 2023’te Mend için ana tema otomasyondur. Odak noktaları, insanların uygulama güvenlik programlarını otomatik pilota almalarına yardımcı olmaktır. İşleri manuel olarak yapma yöntemleri işe yaramadığından, mümkün olduğu kadar çok AppSec’in otomasyonunu teşvik eder ve etkinleştirir. Mend standı, South Expo, Stand #1543’te yer almaktadır.
Mend, bağımlılık durumu güncellemelerinin otomatikleştirilmesi ve otomatik olarak çözülemeyen öğelerin önceliklendirilmesi için en son geliştirmelerini sergileyecek. Bu geliştirmeler, geliştiricilerin zamanlarını geliştirmeye harcamalarına izin vermek için karar alma sürecini onların üzerinden almaya odaklanır. Modern bulut tabanlı uygulamalarda, yalnızca güncel kalmak bile önemli ölçüde manuel çaba gerektirir. Ancak güncel tutmak, güncellemelerin ek risk oluşturmamasını sağlamak için doğru özelliklere sahip doğru araçlarla kolayca otomatikleştirilebilir.
Tanya Janca ayrıca Salı günü 11-1:30 saatleri arasında Alice & Bob Learn Uygulama Güvenliği soru-cevap ve kitap imzası için Mend standında olacak.
Mend’de Üründen Sorumlu Başkan Yardımcısı Jeff Martin şu yorumu yapıyor:
“Tedarik zinciri güvenliği kesinlikle birçok konuşmanın ön saflarında yer alacak. Uygulama geliştirme endüstrisi olgunlaştıkça ve imalat, nakliye ve tıp gibi zaten olgunlaşmış endüstrilerin modellerini takip ederken şu anda herkesin aklında bu var. Artık yazılım ürünlerinin nasıl oluşturulduğunu ve içinde ne olduğunu bilme, güvenli olmalarını sağlama ve en önemlisi bu tedarik zincirini ve güvenlik durumunu müşterilerimize iletme işinde bulunuyoruz.”
Bir tedarik zinciri saldırısının nasıl çalıştığına ve işletmelerin neden endişelenmesi gerektiğine dair kısa bir genel bakış sunabilir misiniz? Tehdit nereden geliyor? Erişimi ne kadar yaygın olabilir?
Tüm tedarik zinciri saldırıları üç taktikten birini kullanır: istenmeyen davranış, güvenilir bir ilişkiyi kötüye kullanma veya güncelliğini yitirmiş öğelere saldırma.
Güvenlik ekipleri ve geliştiriciler, her bileşenle ilgili üç soruyu yanıtlayabilmelidir: “Güvenli mi?”, “Güvenli olmadığını nasıl anlarım?” ve “Nerede kullanılıyor?”
Bir bileşenin güvenli olmasını sağlamak, bilinen ve güvenilir bir tedarikçi, istenen ve şeffaf davranış ve güncel kalmayı gerektirir. Kötü amaçlı paketlerin izlenmesi, tedarikçinin bilinmesini ve güvenilmesini sağlar ve yazım hatası, bağımlılık karışıklığı veya kaçırma veya yeni kitaplıkların kullanımı gibi bilinmeyen tedarikçi saldırılarına karşı koruma sağlar; karartılmış kod, protesto yazılımı, kripto madenciler ve spam paketleri gibi istenmeyen veya net olmayan davranışlar; ve kötü amaçlı yazılım. Tedarikçiler, tüm bileşenlerin güncel olmasını sağlamaya yardımcı olmak için sorumlu, ifşa edilmiş ve sabit güvenlik açıklarına ilişkin şeffaflık sağlamalıdır. Bir bileşen güncelliğini yitirmişse, otomatik olarak savunmasız kabul edilmelidir.
Uygulama güvenliği araçları ve yazılım malzeme listeleri (SBOM’ler), bir bileşenin ne zaman güvensiz hale geldiğine ve nerede kullanıldığına dair içgörü sağlayarak hızlı bir şekilde güncellenip düzeltilebilmesini sağlar.
Bir tedarik zinciri saldırısından kaynaklanan hasar, özellikle açık kaynaklı bileşenler söz konusu olduğunda, geniş kapsamlı olabilir. Açık kaynak kodu yaygın olarak kullanılmaktadır ve şu anda modern yazılımlar için kod tabanının yüzde 80-90’ını temsil etmektedir.
Güncel örnekleri paylaşabilir misiniz?
3CX uzlaşması, en yeni yüksek profilli örneklerden biridir. Bir yazılım tedarik zinciri ihlali, kötü amaçlı yazılımı şirketin yasal yazılımının truva atına dönüştürülmüş bir sürümü aracılığıyla yaydı. Truva atına bulaştırılmış sürüm, daha sonra tarayıcı bilgilerini çalmak için bir veri madencisi indiren kötü amaçlı kod içeriyordu. İlginç bir şekilde, bu saldırı için ilk izinsiz giriş vektörünün, daha önceki bir yazılım tedarik zinciri uzlaşması sırasında dağıtılan kötü amaçlı yazılım içeren bir yazılım paketi olduğu belirlendi.
Diğer yeni örnekler arasında 2022’deki GitHub ve Okta saldırıları, 2020’deki SolarWinds, 2019’daki ASUS ve 2017’deki CCleaner sayılabilir.
Tedarik zinciri saldırılarını durdurmak için en iyi ipuçlarından bazıları nelerdir?
Bir numaralı önerim, bağımlılık güncellemelerini otomatikleştirmek. Yine, bir bileşen güncel değilse, şüphesiz savunmasız olarak kabul edilmelidir.
Riskinizi bilmek de önemlidir. Bir yazılım malzeme listesi oluşturun ve tüm üçüncü taraf ortaklardan aynısını isteyin. SBOM ve envanter yönetiminiz, bir ürünün tüm içeriğini içermeli ve sıfırıncı gün saldırılarına yanıt olarak yardımcı olması için kolayca aranabilir olmalıdır.
Üçüncüsü, tarama araçlarını düzenli bir tempoda kullandığınızdan emin olun. SCA araçları, bilinen yeni güvenlik açıklarını ve kötü amaçlı paketleri izler ve “Bir bileşen ne zaman güvensiz hale gelir?” sorusunu sürekli olarak yanıtlar.
Bu yıl ön plana çıkmasını beklediğiniz başka konu ve trendler var mı?
Yapay zeka ve makine öğrenimi ve bunların hem saldıran hem de savunan taraf üzerindeki etkileri bir başka önemli konu olacak.
Görünüşe göre herkes yeniye ve romana ilgi duyuyor; ancak, güvenlikle ilgili asıl sorun hala temel unsurlardır. İçindeki bileşenler beş yıl içinde güncellenmediyse, sisteminizi savunmak için gösterişli bir yapay zeka kullanmanın bir anlamı yoktur. Kapınızı korumak için bir robot kullanmaya benzer, ancak tüm pencerelerinizi açık bırakın. Tüm temel bilgilerinizi güvence altına almak için uygun adımları attıktan sonra, en yeni parlak teknolojinin güvenliğinizi nasıl daha da artırabileceğini keşfedebilirsiniz.