MITRE, tedarik zinciri için riskleri ve siber güvenlik endişelerini tanımlayan ve ölçen yeni Güven Sistemi (SoT) çerçevesi için bulut tabanlı bir prototip platformunu sessizce yayınladı.
Sözde Risk Modeli Yöneticisi (RMM) platformu, kuruluşların tedarik zinciri riskini ve güvenliğini değerlendirmesinin yanı sıra SoT çerçeve içeriğini görüntülemesi, düzenlemesi ve özelleştirmesi veya bir alt küme çerçevesi olarak kullanmak üzere dışa aktarması için artık kullanılabilir. MITRE, SoT çerçeve konseptini ilk olarak 2022 RSA Konferansında (RSAC) tanıttı ve RMM prototip platformunu önümüzdeki ay San Francisco’da düzenlenecek RSAC 2023’te resmi olarak duyuracak.
Yazılım tedarik zinciri riski ve güvenliği, SolarWinds ve Log4j gibi yüksek profilli saldırıların satıcıların yazılımlarını tehlikeye atan ve ardından müşterilerin yazılım kurulumlarını tehlikeye atan tehdit aktörlerinin tehlikelerini acı verici bir şekilde ortadan kaldırmasının ardından yüksek sesli bir uyandırma çağrısı aldı. Bugüne kadar bu riskleri tanımlamanın veya ölçmenin ortak, üzerinde anlaşmaya varılmış bir yolu olmamıştır. MITRE’nin SoT’sine girin; tedarikçileri, hizmet sağlayıcıları ve malzemeleri değerlendirmek için bir tür standart yol sağlayan bir çerçeve, siber güvenlik ekipleri tarafından ve bir satıcıyı veya bir yazılım ürününü değerlendirmek için işletme genelinde kullanılabilir.
AWS’de barındırılan bulut tabanlı bir uygulama olan SoT çerçevesi, tedarikçinin finansal istikrarı ve siber güvenlik uygulamalarının yanı sıra risk de dahil olmak üzere tedarikçiler, hizmet sağlayıcılar ve malzemelerle ilgili 14 üst düzey risk alanına odaklanmıştır sahtecilik ve ürünlerle uzlaşma. Bu risk kategorileri daha sonra satın alma sürecinde bir tedarikçiyi veya ürünü değerlendirmek için kullanılır; örneğin, bir tedarikçinin ürününde kullanılan üçüncü taraf yazılım bileşenlerini nasıl izlediğine ve güvenliğini nasıl sağladığına ilişkin ayrıntılı soruları araştırır.
Kıdemli yazılım ve tedarik zinciri güvence müdürü Robert Martin, “Güven Sistemi çok çekici çünkü daha kapsamlı, iyi düzenlenmiş ve tedarik zincirinizde ne tür risklerin olduğunu açıklayan bir yapı sağlıyor” diye açıklıyor. MITRE Labs’ta mühendis. Bunun, geleneksel risk ölçüm ve değerlendirme araçlarının ötesine geçtiğini belirtiyor.
Şu anda yaklaşık 660 özel tedarik zinciri kategorisi ve risk faktörü içeren SoT platformunu şekillendirmekle ilgilenen yaklaşık 40 kuruluş var. MITRE, tedarik zinciri operasyonlarının bazı unsurlarına dokunan tedarik zincirleri, tedarik zinciri güvenlik sağlayıcıları ve standart grupları olan işletmelerden aracı detaylandırmak için girdi topluyor. SoT topluluğunun bazı büyük isim üyeleri arasında Microsoft, BlackBerry, CISA, Cisco, Dell Technologies, Intel, Mastercard, NASA, Raytheon, Schneider Electric, Siemens ve The Open Group bulunmaktadır.
SoT, MITRE’nin siber güvenlik endüstrisi için bir referans çerçevesi oluşturan başka bir projesidir: örneğin, son derece popüler olan ATT&CK çerçevesi, tehdit gruplarının ağlara sızmak ve sistemleri ihlal etmek için kullandığı ortak adımları haritalandırırken, daha yeni D3FEND modeli, savunma yeteneklerini ve teknolojilerini tanımlar. Ancak SoT, örneğin finansal, kalite ve bütünlük riskini de hesaba katarak, siber güvenlikten daha geniş bir risk merceği sağlar.
“Burada sahip oldukları en büyük şey, ATT&CK ve D3FEND ile yaptıklarını yapıyorlar: sadece zincirdeki konum hakkında değil, belirli güvenlik açıkları veya saldırı yöntemleri ve savunmalardan bahsederken herkesin kullanması için ortak bir dil sağlamak, ” diyor Omdia’da kurumsal güvenlik yönetimi baş analisti Curt Franklin.
Franklin, MITRE’nin diğer siber güvenlik programlarıyla birlikte soyağacının SoT’yi ilerletmeye yardımcı olması gerektiğini, ancak geniş çapta benimsenmesinin muhtemelen zaman alacağını söylüyor. “Üçüncü taraf risk değerlendirmesinin bazılarını hayal edebiliyorum [vendors] FAIR oluşturur gibi ürünlerine SoT oluşturmak [Factor Analysis of Information Risk] veya ATT&CK onlarınkine,” diyor Franklin. “Bence olasılıklar yüksek [SoT] daha yaygın olarak benimsenecektir. Bence ihtimaller o kadar iyi ki biraz zaman alacak.”
Bunun nedeni, siber güvenlikte riski tanımlamanın ve ölçmenin hâlâ birden çok yolu olması ve hiçbir iki modelin birlikte çalışmamasıdır, diyor. “Risk duruşumun sektördeki emsallerime kıyasla nasıl olduğunu söylemek çok zor. Bunun gibi bir şey, riskin bazı yaygın nicelleştirmeleri için belirli bir çerçeve sağlıyor.”
SoT Nasıl Çalışır?
RMM’deki her risk öğesi, daha sonra bir puanlama algoritmasına uygulanan veri ölçümleri kullanılarak puanlanır. Ortaya çıkan puanlar, örneğin belirli risk kategorilerine karşı bir tedarikçinin güçlü ve zayıf yönlerini tanımlar. Bu, bir işletmenin, örneğin bir yazılım satıcısının veya ürününün güvenlik riskini nicel olarak değerlendirmesine olanak tanır.
Projede yakından çalışan kuruluşlardan biri, tedarik zinciri güvenliğinden sorumlu başkan yardımcısı Cassie Crossley’nin Martin’e “Tedarik Zinciri Riski için Standart Oluşturma — MITRE’nin Güven Sistemi” başlıklı bir RSAC 2023 oturumunda Martin’e katılacağı Schneider Electric. Crossley, Schneider’in şu anda şirketin farklı bölümlerinde yürürlükte olan çok sayıda kapsamlı tedarik zinciri risk değerlendirme sürecine sahip olduğunu ve Schneider’in kendi gereksinimlerine ve ölçütlerine göre SoT’ye girdi ve geri bildirim sağlamayı planladığını söylüyor.
“Bu takımlarla çalışmak isterdik. [across Schneider] önerilerde bulunabileceğimiz bazı alanları belirlemek ve ayrıca nasıl daha iyi uyum sağlayabileceğimizi veya daha fazlasını nasıl benimseyebileceğimizi görmek için [SoT] çerçevesi,” diyor Crossley. “Henüz tam bir ‘Hey, %100 SoT’yiz’ diyip görmeyeceğimizi bilmiyorum. Ancak tedarik zinciri risk değerlendirmesi için kendi süreçlerimizi oluşturacak ve daha çok bir yapıya dahil etmek istediğimiz alanları belirleyeceğiz” diyor.
Schneider için tedarik zinciri riski ve güvenlik sorunları, “birlikte çalıştığımız üçüncü ve dördüncü taraflar” da dahil olmak üzere hem kendi ürünleri hem de dahili kullanım için satın aldıkları ürünler için geçerli. SoT’nin, tipik olarak bir tedarikçi değerlendirme sürecinin parçası olmayan “yukarı akış” tedarikçileriyle ilişkili risklerin görünürlüğüne yardımcı olabileceğini düşünüyor.
“Bence SOT kullanarak, eğer bir sürü için ortak bir model haline gelebilirse, bu yanıtları yukarı akıştaki tedarikçiler için daha hızlı alabiliriz”, diyor, eğer bir kuruluş satıcılardan bunu yukarı akış tedarikçileriyle eşleştirmelerini isteyebilirse.
MITRE’nin Açık Kaynak Planı
Martin, SoT’nin tedarik zinciri değerlendirmeleri için başvurulacak standart haline gelmesindeki ana zorlukların, projeyi yakaladıkça genişletmek için yeterli bant genişliğinin yanı sıra çabaların tekrarlanmasını önlemek için haberi yaymak olduğunu söylüyor. “İnsanların bunun farkında olmamasından ve örtüşen bir şeyi çözmeye çalışmasından endişeleniyorum. İnsanların farkında olmasını sağlıyoruz” ve SoT’ye katkıda bulunmaya yardımcı olabiliriz, diyor.
MITRE, tamamen hazır olduğunda RMM’yi açık kaynaklı bir araç olarak sunmayı planlıyor. Martin, şimdilik kuruluşların bunu, aracın kendisini detaylandırmasında veya kendi dahili kullanımları için MITRE’ye yardımcı olmak için kullanabileceğini söylüyor. “Çevrimdışına alabilirler” diyor ve “SoT’ye karşı bir değerlendirme yapabilirler”.