Ağ Dayanıklılığı Koalisyon Güncel olmayan ve yanlış yapılandırılmış yazılım ve donanımın oluşturduğu güvenlik açıklarını azaltarak ağ güvenliği altyapısını iyileştirmeyi amaçlayan öneriler yayınladı. Üst düzey ABD hükümetinin siber güvenlik liderlerinin de katıldığı NRC üyeleri, Washington DC’deki bir etkinlikte önerilerin ana hatlarını çizdiler.
Temmuz 2023’te Siber Güvenlik Politikası ve Hukuk Merkezi tarafından kurulan NRC, ağ operatörlerini ve BT sağlayıcılarını, ürünlerinin siber dayanıklılığını artırmak için uyumlu hale getirmeyi amaçlıyor. NRC’ler Beyaz kağıt güvenli yazılım geliştirme ve yaşam döngüsü yönetimine yönelik öneriler içerir ve yazılım tedarik zinciri güvenliğini iyileştirmek için tasarım gereği güvenli ve varsayılan ürün geliştirmeyi kapsar.
NRC’nin üyeleri arasında AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon ve VMware bulunmaktadır.
Grup, tüm BT sağlayıcılarını, ulus devlet tehdit aktörlerinin yeterince güvence altına alınmamış, yamanmamış veya bakımı yapılmamış donanım ve yazılım açıklarından yararlanarak kritik altyapılara saldırma çabalarını hızlandırdıkları yönündeki hükümet uyarılarına kulak vermeye çağırıyor.
Önerileri Biden Yönetimi’nin önerileriyle tutarlıdır Yönetici Emri 14208, gelişmiş yazılım tedarik zinciri güvenliği de dahil olmak üzere modernize edilmiş siber güvenlik standartları çağrısında bulunuyor. Ayrıca Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) haritalarıyla da eşleşirler. Tasarım Bazında Güvenlik ve Varsayılan rehberlik ve idarenin geçen yıl yayınlanan Siber Güvenlik Yasası.
CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein, grubun oluşumunu ve teknik incelemenin altı ay sonra yayınlanmasını şaşırtıcı ama memnuniyetle karşılayan bir gelişme olarak nitelendirdi. “Açıkçası, birkaç yıl önce bile ağ sağlayıcıları, teknoloji sağlayıcıları, [and] NRC etkinliği sırasında Goldstein, cihaz üreticilerinin bir araya gelip ürün ekosisteminin siber güvenliğini geliştirmek için daha kolektif olarak daha fazlasını yapmamız gerektiğini söylemesi yabancı bir kavram olurdu” dedi. “Bu lanet olurdu.”
NIST’in SSDF ve OASIS Open EoX’unu benimsemek
NRC, satıcıları yazılım geliştirme metodolojilerini NIST’lerle eşleştirmeye çağırıyor Güvenli Yazılım Geliştirme Çerçevesi (SSDF), yamaları ne kadar süreyle destekleyip yayınlayacaklarını ayrıntılarıyla anlatırken. Ayrıca satıcılar, güvenlik yamalarını özellik güncellemeleriyle bir araya getirmek yerine ayrı olarak yayınlamalıdır. Aynı zamanda müşteriler, kritik yamaları ayrı ayrı yayınlamayı taahhüt eden ve SSDF’ye uyum sağlayan satıcılara ağırlık vermelidir.
Ayrıca NRC, satıcıların destek vermesini tavsiye ediyor OpenEoXEylül 2023’te OASIS tarafından, sağlayıcıların riski tanımlama ve kullanım ömrü sonu ayrıntılarını piyasaya sürdükleri her ürün için makine tarafından okunabilir bir formatta iletme biçimlerini standartlaştırmaya yönelik bir çalışmadır.
Cisco’nun baş güven sorumlusu Matt Fussa, dünya çapındaki hükümetlerin genel ekonomilerini nasıl daha istikrarlı, dayanıklı ve güvenli hale getireceklerini belirlemeye çalıştıklarını söyledi. Fussa, bu haftaki NRC basın etkinliğinde şunları söyledi: “Sanırım tüm şirketler, yazılım faturaları ve materyalleri üretmek, güvenli yazılım geliştirme uygulamalarına katılmak ve bunları uygulamak gibi en iyi uygulamaları desteklemek için CISA ve bir bütün olarak ABD hükümeti ile yakın ortaklık içindedir.”
Fussa, yazılımda şeffaflığı artırmaya, daha güvenli yapı ortamları oluşturmaya ve yazılım geliştirme süreçlerini desteklemeye yönelik girişimlerin, yalnızca kritik altyapının ötesinde gelişmiş güvenlikle sonuçlanacağını da sözlerine ekledi. “Bunlar sektörde norm haline geldikçe hükümetin dışına da yayılma etkisi olacak” dedi.
Brifingin hemen ardından gerçekleştirilen medya Soru-Cevap sırasında Cisco’dan Fussa, satıcıların SBOM’ları yayınlama veya tekliflerindeki açık kaynak ve üçüncü taraf bileşenlerini kendi kendine onaylama konusunda idari emirlere uyma konusunda yavaş davrandıklarını kabul etti. “Şaşırdığımız şeylerden biri de onları üretmeye hazır olduğumuzda, pek cırcır böceği değildi ama hacmi beklediğimizden daha düşüktü” dedi. “Sanırım zamanla, insanlar bunları nasıl kullanacakları konusunda rahat oldukça, bunun yaygınlaşacağını ve sonunda yaygınlaşacağını göreceğiz.”
Acil Eylem Önerilir
Fussa, paydaşları yeni raporda belirtilen uygulamaları derhal benimsemeye başlamaya çağırıyor. “Hepinizi bunu acilen yapmayı, SSDF’yi acilen dağıtmayı, müşterilerinizin SBOM’larını aciliyet duygusuyla oluşturup almayı ve açıkçası güvenliği aciliyet duygusuyla artırmayı düşünmeye davet ediyorum çünkü tehdit aktörleri beklemiyor, ve tüm ağlarımıza karşı aktif olarak yeni fırsatlar arıyorlar.”
Bir endüstri konsorsiyumu olarak NRC, yalnızca üyelerini tavsiyelerine uymaya teşvik edecek kadar ileri gidebilir. Ancak teknik incelemenin Yönetici Emri ile uyumlu olması ve Ulusal Siber Güvenlik Stratejisi Beyaz Saray tarafından geçen yıl açıklanan Fussa, buna bağlı kalmanın satıcıları kaçınılmaz olana hazırlayacağına inanıyor. “Bu yazıda gördüğünüz önerilerin çoğunun hem Avrupa’da hem de ABD’de kanun kapsamında gereklilikler olacağına dair bir tahminde bulunacağım” diye ekledi.
NCC Group’un altyapı güvenliği küresel uygulama direktörü Jordan LaRose, konsorsiyumun çabalarının arkasında ONCD ve CISA’nın bulunmasının dikkate değer bir destek olduğunu söylüyor. Ancak makaleyi okuduktan sonra, halihazırda mevcut olmayan bir bilgi sunduğuna inanmadı.
LaRose, “Bu teknik inceleme çok ayrıntılı değil” diyor. “Bütün bir çerçevenin ana hatlarını çizmiyor. NIST SSDF’ye atıfta bulunuyor ancak sanırım çoğu insanın kendisine soracağı soru şu olacaktır: Gidip NIST SSDF’yi okuyabilmek varken bu teknik incelemeyi okumaları gerekiyor mu?”
Bununla birlikte LaRose, paydaşların tasarım gereği güvenli süreçler geliştirmemeleri ve önerilen kullanım ömrü sonu modellerini uygulamamaları durumunda karşılaşacakları potansiyel gereksinimler ve yükümlülüklerle uzlaşmaları gerektiğinin altını çiziyor.
Fortinet’in ürün teknolojisi ve çözümlerinden sorumlu kıdemli başkan yardımcısı Carl Windsor, ilk günden itibaren ürünlere güvenlik kazandırmaya yönelik her türlü çabanın kritik önem taşıdığını söyledi. Windsor, raporun SSDF’yi ve NIST ile CISA’nın diğer çalışmalarını kapsamasının özellikle teşvik edildiğini söyledi. “Ürünlerimizi ilk günden itibaren NIST standartlarına uygun olarak üretirsek, dünya çapında ortaya çıkan diğer tüm standartlarla %90 ila 95 oranında yol kat etmiş oluruz” dedi.