YORUM
Günümüzün yazılım geliştirme sürecinin karmaşıklığı (açık kaynak ve üçüncü taraf bileşenlerin yanı sıra dahili olarak geliştirilen kodun bir karışımı), saldırganların yazılım tedarik zinciri boyunca yararlanabileceği çok sayıda güvenlik açığıyla sonuçlandı.
MOVEit ve SolarWinds ihlalleri gibi olaylarda yazılım tedarik zinciri saldırılarının doğrudan etkilerini gördük; bu da hiçbir endüstri sektörünün, şirket büyüklüğünün veya yazılım geliştirme aşamasının bundan muaf olmadığını ortaya koydu. Enterprise Strateji Grubu’nun (ESG) yaptığı bir ankete göre kuruluşların %91’i en az bir deneyim yaşadı 2023’teki yazılım tedarik zinciri güvenliği olayıve 2024 daha iyi görünmüyordu.
Güvenlik ekipleri, gerçek risk oluşturan uyarıları zararsız olanlardan ayırt etmek için on binlerce uyarıyı ayırma, değerlendirme ve bunların azaltılmasına öncelik verme görevinin altında eziliyor. 2023 yılında bir grup AppSec uzmanı, Açık Yazılım Tedarik Zinciri Saldırı Referansı (OSC&R)MITRE ATT&CK benzeri bir çerçeve olan ve kuruluşların yazılım tedarik zincirindeki güvenlik açıklarını daha derinlemesine anlamalarına yardımcı olan, ücretsiz olarak kullanılabilen bir çerçevedir.
OSC&R topluluğunun açılışı rapor“OSC&R in the Wild: En Yaygın Yazılım Tedarik Zinciri Risklerine Yeni Bir Bakış”, yazılım tedarik zincirindeki güvenlik açıklarının ciddiyetine ilişkin kapsamlı bir analiz sunuyor. 100 milyondan fazla uyarının, on binlerce kod deposunun ve 140.000 gerçek dünya uygulamasının dokuz aylık analizine dayanarak, yazılım tedarik zincirlerine yönelik riskleri inceliyor ve doğada bulunan güvenlik açıkları ile saldırıların odak noktası arasındaki uyumu araştırıyor. AppSec ekipleri bugün.
Araştırma, kuruluşların %95’inin yazılım tedarik zincirlerinde en az bir yüksek, kritik veya kıyamet riskinin bulunduğunu ve ortalama bir kuruluşun bu tür dokuz soruna sahip olduğunu da içeren bazı aydınlatıcı istatistikler sunuyor. Dahası, OSC&R verileri, en yaygın yazılım tedarik zinciri güvenlik açıklarının çoğunun, kimlik doğrulama, şifreleme, günlüklerdeki kamuya açık bilgiler ve en az ayrıcalık ilkesi gibi temel güvenlik kontrollerine bağlı olduğunu gösteriyor. Raporun en önemli çıkarımlarından bazıları aşağıdadır.
1. Çalışma Zamanında Maruz Kalmaya Dikkat Edin
Beş uygulamadan birinin, bir saldırının yürütme aşamasında yüksek, kritik veya kıyamet gibi çalışma zamanı güvenlik açıkları içerdiği tespit edildi. Bu da onları saldırganların öncelikli hedefi haline getiriyor. En önemli yazılım güvenlik açıkları daha sonraki saldırı aşamalarında ortaya çıkma eğiliminde olduğundan, sorunları yazılım geliştirme yaşam döngüsünün erken safhalarında yakalamak çok önemlidir.
Bu nedenle AppSec ve DevOps ekipleri uygulama çalışma zamanı güvenliğini güçlendirmeyi hedeflemelidir. Bu, sürekli izleme ve entegre etme yoluyla gerçekleştirilebilir. gerçek zamanlı koruma mekanizmaları hasar potansiyelinin en yüksek olduğu saldırının sonraki aşamalarına odaklanır.
2. Eski Güvenlik Açıklarını Düzeltmeye Değer
Daha yeni güvenlik açıkları manşetlerde yer alsa da eski güvenlik açıkları, tedarik zinciri güvenliği söz konusu olduğunda en yaygın saldırı vektörleri olmaya devam ediyor. Komut enjeksiyonu (uygulamaların %15,4’ü), günlük dosyalarındaki hassas veriler (uygulamaların %12,4’ü) ve siteler arası komut dosyası oluşturma (uygulamaların %11,4’ü) gibi tekniklerin yanı sıra yavaş yanma güvenlik açıkları CVE-2024-3094sıkıştırma yardımcı programını hedef alan XZ Yardımcı Programlar büyük Linux dağıtımlarında hala yama yapılmamış sistemlere zarar veriyor. Saldırganlar, “eski tarz” güvenlik açıklarının önemli ve kalıcı riskler sunduğunu gösteren tarihsel taktik ve teknikleri başarıyla kullanmaya devam ediyor.
Bu taktik ve tekniklere karşı koymak ve saldırı fırsatlarını azaltmak için kuruluşların, bilinen güvenlik açıklarını düzeltmek amacıyla eski sistemleri ve kod tabanlarını düzenli olarak gözden geçirmesi ve güncellemesi gerekir. Ayrıca, hem eski hem de yeni ortaya çıkan tehditlere yönelik sürekli taramayı içeren güçlü bir güvenlik açığı yönetimi programının uygulanması, yazılımı bilinen risklere karşı güçlendirecektir.
3. Birden Fazla Saldırı Aşamasına Yayılan Güvenlik Açıkları Hasarı Artırır
OSC&R raporunun veri analizinde, uygulamaların %36’sının ilk erişim saldırısı aşamasında açıklardan yararlanmaya karşı savunmasız olduğu ve birçoğunun birden fazla saldırı aşamasında örtüştüğü tespit edildi. Gerçekten de, ilk erişim aşamalarındaki güvenlik açıkları genellikle kalıcılık ve yürütme istismarları gibi daha ciddi tehditlere kapı açar.
Veriler, AppSec ve DevOps ekibinin yalnızca başlangıç aşamalarında değil, saldırı yaşam döngüsünün tüm aşamalarında savunmaları güçlendirme ihtiyacının altını çiziyor. Kuruluşlar, saldırganların saldırılarını engellemek için öldürme zincirinin çeşitli aşamalarındaki tehditleri tespit edip etkisiz hale getirebilen çok katmanlı güvenlik çözümlerini benimsemelidir. sistemler içinde yanal olarak hareket etmek ve yaygın siber ve ticari hasara neden oluyor.
AppSec Ekipleri için Sonraki Adımlar
İlk OSC&R raporunun yanıtlamaya çalıştığı sorulardan biri, AppSec ve DevOps ekiplerinin odaklandığı şeyin doğada bulunan güvenlik açıklarıyla eşleşip eşleşmediğiydi. Veriler durumun henüz böyle olmadığını ortaya koyuyor. İlerleme sağlanıyor, ancak tedarik zincirinden canlı uygulamalara geçen yüksek miktardaki güvenlik açıkları ve tedarik zinciri güvenliği olaylarını rapor eden kuruluşların büyük bir yüzdesi, proaktif yazılım güvenliği önlemlerine daha fazla odaklanmanın gerekli olduğunu gösteriyor.
Ayrıca kuruluşların, risk altında olma olasılığı en yüksek yerleri belirlemek için hem yazılım geliştirme süreçlerine hem de saldırı yaşam döngüsüne sistematik olarak bakarak daha iyi bir iş yapmaları gerekir. Ancak tarihsel veriler tek başına cevap değildir. Kuruluşlar, zaman zaman gözden kaçan geliştirme ve test ortamları da dahil olmak üzere, oluşturma aşamasından çalışma zamanına kadar tedarik zincirlerinin bütünsel görünürlüğünü sağlayan araç ve süreçleri uygulamalıdır.
Ayrıca yazılım geliştirmenin bir veya iki aşamasına veya saldırı yaşam döngüsünün bir aşamasına odaklanmanın yeterli olmadığı açıktır. İşletmeler, saldırı olasılığını azaltmak için tüm aşamaları birleştirebilecek araçların eşlik ettiği çok katmanlı, tam yaşam döngüsüne sahip bir AppSec stratejisi benimsemelidir.
Geliştirme ve güvenlik ekipleri artık programlarını bilinen saldırı vektörleri ve taktikleriyle eşleştirmek için kullanabilecekleri bir referansa sahip. Aslında OSC&R, üretime ulaşan güvenlik açıklarının sayısını azaltan, bir bütün olarak kuruluşun dayanıklılığını artıran ve yazılım kusurlarından kaynaklanan ihlal korkusunu azaltan, kolaylaştırılmış bir yazılım güvenlik programının çalıştırılmasının temelini oluşturuyor.