Yazan: Craig Burland, Inversion6’nın CISO’su
1970’lerdeki bir Ford Pinto’nun varsayılan zihinsel görüntüsü, arka kısmı hafifçe buruşmuş ve talihsiz sürücünün görünürde olmadığı, alevler içinde bir arabayı gösteriyor. Pinto, tüketici güvenliği düzenlemelerindeki kusurları ve duygusuz maliyet fayda analizinin dezavantajlarını özetlemek için geldi. Ford’un liderliği, otomobilin yakıt sistemini yeniden tasarlamanın, tehlikeli bir aracı seri üretmenin hukuki etkisinden daha maliyetli olduğunu belirlemişti. Yanılıyorlardı. Pinto, üreticilerin tüketicileri korumaya yönelik gereksinimlerde dramatik değişikliklerle karşı karşıya kalmasına neden olan ürün güvenliğinde bir devrimi teşvik etti. Hızlı bir şekilde 50 yıl ileri sardığımızda, dijital ürünlerde de benzer bir ikilemle karşı karşıyayız; harekete geçmeden önce sanal bir patlama ve yanan enkaz bekliyor gibi görünüyor.
Tasarımla Güvenli olma fikri onlarca yıldır ortalıkta dolaşıyor. En eski referanslardan biri JEROME H. SALTZERAND MICHAEL D. SCHROEDER tarafından yazılan “Bilgisayar Sistemlerinde Bilginin Korunması” adlı makalede bulunabilir. Yazarlar, çok kullanıcılı sistemlerin yeni arenasında en az ayrıcalık ve veri gizliliğine dikkat edilmesi çağrısında bulundu. 2022’de Microsoft 20. yılını kutladıo Bill Gates’in Güvenilir Bilgi İşlem (TwC) girişiminin yaratılışını duyuran artık meşhur olan e-postasının yıldönümü. Girişim, yeni özelliklerin eklenmesinden ziyade güvenlik ihtiyacını vurgulayarak müşteri güvenliğini ön plana çıkarmayı amaçladı.
Açıklanamaz bir şekilde, bu ideallerin benimsenmesi temel olmaktan ziyade istek uyandırıcı olmaya devam ediyor. Dünyanın dört bir yanındaki şirketler, uygulama veya güvenliğe minimum düzeyde dikkat göstererek ürünleri piyasaya sürmeyi ve özellikleri hızlı bir şekilde sunmayı seçerek geliştirmede hız ve verimliliği vurgulamaya devam ediyor. DevSecOps eksi Sn. Her gün, müşteri verilerini açığa çıkaran veya önemli güvenlik açıklarını açığa çıkaran ürün tasarımı kusurları hakkında okuyoruz. Güvenliğe yönelik taahhüt eksikliği, endüstriyel kontrol sistemlerinden bulut platformlarına kadar teknoloji ortamında görülebilir. Geçtiğimiz ay içinde CISA, giriş doğrulama kusurlarının uzlaşmaya kapı açtığı birçok sorunu duyurdu. Giriş doğrulama, bir geliştiricinin gerçekleştirmesi gereken en temel kontrollerden biridir. Bu kontrolün atlanması geliştirmede yanlış uygulamadır. Bu, küçük bir arabanın arkasına bir benzin deposu bağlayıp arkadan çarpışmaların olmayacağını ummak gibidir.
İyi haber şu ki DevOps hattına güvenlik eklemek ve Tasarımla Güvenliliğe doğru ilerlemek için yenilikçi deha gerekmiyor. OWASP ve MITRE gibi kuruluşlar, sağlam bir programın bileşenlerini oluşturarak çok çalıştılar. Tek gereken risk farkındalığı, stratejik önceliklendirmeye odaklanmak ve bir irade meselesidir.
İlk olarak, güvenliğin neden yatırım gerektirdiği konusunda geliştirme ekipleri ve liderler arasında farkındalık yaratmak çok önemlidir. Geliştiriciler genellikle sabahlarını en son güvenlik açıkları ve güvenlik açıkları hakkında okuyarak geçirmezler. Geliştirme liderleri çıkış tarihleri, fiyat noktaları ve temel özellikler konusunda endişeleniyor. Onlara göre başarısız olmanın tek garantili yolu hiç kalkış yapmamaktır. Karar sürecine siber güvenlik perspektifinin dahil edilmesi, diyaloğun yeniden şekillendirilmesi açısından hayati öneme sahiptir. Teknolojinin olduğu her ürün tehditlerle karşı karşıyadır. Bu tehditler büyük veya küçük olabilir. Büyük bir tepki veya küçük bir ayarlama gerektirebilirler. Potansiyel olarak şirketin itibarını etkileyebilir veya ürün verilerinin küçük bir yönünü etkileyebilirler. Siber açıdan bakıldığında bir şirketin yapabileceği en büyük hata, riskler konusunda bilgisiz kalmayı seçmektir. Liderler için tehdit değerlendirmeleri ve geliştiriciler için güvenli geliştirme eğitimi gibi araçlar, bir değişimi tetikleyebilir ve uzun vadeli, kültürel değişimin benimsenmesini sağlayabilir.
Daha sonra, ürün geliştirmede bir paydaş olarak siber güvenliği oluşturmak kritik önem taşıyor. Ürün özelliklerinin yanına siber gereklilikleri de ekleyerek güvenliğin masada belirlenmiş bir yeri ve sonuçta söz sahibi olması sağlanır. Çoğu zaman güvenlik, bir ürünün piyasaya sürülmesinin, işi durdurmaya çalışma veya riski göz ardı etme gibi riskli bir duruma sürüklenmesinden hemen önce devreye girer. Bu kazanılamaz bir 11o saat tuzağı. Çabanın başlangıcına güvenlik merkezli unsurların dahil edilmesi, sürecin normal şekilde akmasını sağlayarak risk ve uyumluluk konusunda gerçek, tarafsız bir diyaloğun oluşmasına olanak tanır. Gereksinimler, güvenli bir geliştirme çerçevesinin benimsenmesi gibi geniş kapsamlı veya her sürümden önce statik kod analizi konusunda ısrarcı olunması gibi dar kapsamlı olabilir. Çoğu iş gereksinimi gibi, bu siber unsurlar da pazarlığa açık olmalıdır. Bir ürün özelliğinin, ihtiyacı karşılamanın farklı yolları hakkında bir tasarım tartışmasına yol açmaması nadir görülen bir durumdur. Bir gereksinimin tam olarak karşılanması ürünü zayıflatacak veya iş fırsatını ortadan kaldıracaksa, diğer seçenekler veya telafi edici kontroller dikkate alınmalıdır.
Farkındalık ve gereklilikler mevcut olduğunda, son adım test etme ve doğrulamadır. 11’in aksineo saat tuzağı, geliştirme hattı sırasında keşfedilen güvenlik sorunları, kazan-kazan senaryoları bulmak için proje tesliminin temel unsurları olan zaman, maliyet ve kapsam tartışılarak rasyonel bir şekilde ele alınabilir. İyi gereksinimlerin somut başarı kriterleri ve adlandırılmış sahiplikleri vardır. Doğrulama, tartışmalı bir dizi olaydan ziyade nesnel, gerçeklere dayalı bir uygulama olmalıdır.
Güvenli olmayan geliştirme uygulamalarının olumsuz etkileri manşetlere çıktıkça Güvenli Tasarım’ın önemi artmaya devam edecek. Biden Yönetimi geçtiğimiz günlerde, müşteriler için korumayı artırmayı amaçlayan kusurlu teknoloji ürünlerine ilişkin sorumlulukta bir değişiklik yaptığını duyurdu. CISA, bu zorluğun nasıl aşılacağı konusunda daha ayrıntılı rehberlik sağladı. Haziran ayında Google, sorumlu yapay zeka geliştirmenin ilk unsuru olarak varsayılan güvenliğin sağlanması çağrısında bulundu. Ünlü bir söz vardır: “Tarihten ders almayanlar, onu tekrar etmeye mahkumdur.” Akıllı şirketler, ürünleri 2020’lerin Ford Pinto’su haline gelmeden ve şirketin itibarını davalara ve yangınlara sürüklemeden önce bu tavsiyeye kulak verecek ve güvenli gelişmeyi benimseyecek.
yazar hakkında
Craig Burland, Inversion6’nın CISO’sudur. Craig, bir Fortune 200 Şirketi için bilgi güvenliği operasyonlarına liderlik eden en son rolü de dahil olmak üzere onlarca yıllık sektör deneyimini Inversion6’ya taşıyor. Aynı zamanda Kuzeydoğu Ohio Siber Konsorsiyumunun eski Teknik Eş Başkanı ve Çözümsel MSSP, NTT Güvenliği ve Oracle Web Merkezi’nin eski Müşteri Danışma Kurulu Üyesidir. Craig’e çevrimiçi olarak LinkedIn’den ve şirketimizin web sitesi http://www.inversion6.com’dan ulaşılabilir.