Veeam Ürün Stratejisi Kıdemli Direktörü Rick Vanover tarafından yazılmıştır.
Federal hükümet pandemiden çıkmaya devam ederken, bilgi teknolojisi stratejisi iki zorlayıcı ancak farklı eğilimden etkileniyor: sıfır güven ve açık kaynak.
Kısmen Beyaz Saray’ın Ulusun Siber Güvenliğini İyileştirmeye İlişkin 2021 Yürütme Kararı sayesinde, bu eğilimlerin en belirgin olanı sıfır güven benimseme olabilir. Ancak bazıları, açık kaynaklı yazılımların artan popülaritesinin siber güvenlik kazanımını zayıflatabileceğinden korkuyor.
2020 Federal Kaynak Kodu Çalışmasına göre, Code.gov’da listelenen 6.800’den fazla federal yazılım projesinin %80’i açık kaynaktır ve geliştiricilerin hızlı bir şekilde yenilik yapmalarına, dağıtım maliyetlerini düşürmelerine ve daha fazla satıcı seçeneği sunmalarına olanak tanır.
Açık kaynağın kitle destekli inovasyon yaklaşımı siber güvenliği iyileştirebilir, ancak kaynak kodunun şeffaflığı, saldırganların yaratıcı bir şekilde kötü amaçlı yazılım enjekte etmesine izin verebilir. “Backstabber’s Knife Collection” başlıklı 2020 araştırma makalesi, yazılım uygulamalarının potansiyel ihlallerden karşı karşıya kaldığı zorlukları vurgulamak için 2015 ve 2019 yılları arasında “açık kaynaklı yazılım tedarik zincirlerine yönelik gerçek dünya saldırılarında kullanılan” 174 kötü amaçlı yazılım paketini ayrıntılı olarak anlattı.
Açık kaynak topluluğu, güvenlik açıklarını izleme ve hızlı bir şekilde yamalama konusunda usta olsa da, açık kaynak paketlerinin yaygınlığı, bir saldırı meydana geldiğinde, tespit edilmeden önce hızla yayılabileceği anlamına gelir. Bu açık kaynaklı yazılım uygulamaları bir kez ihlal edildiğinde, kötü amaçlı yazılım bulaşmış yazılımın BT ortamında zaten hesaba katılması nedeniyle sıfır güven mimarisinin saldırıyla mücadele etmesi zorlaşır.
Sıfır güven, meşru erişim noktalarının güvenliğini sağlamaya ve verilere maruz kalmayı sınırlamaya yardımcı olabilirken, bir saldırı durumunda güvenliği ihlal edilmiş verileri kendi başına kurtaramaz. Zero Trust bir mimaridir, bir tasarımdır, bir zihniyettir – verilerin kusursuz bir kopyası veya tek bir ürün değildir.
Açık kaynak tedarik zincirleri üzerindeki saldırıların potansiyel etkisine hazırlanmak için, ajansların, tüm tedarik zincirini hesaba katan savunma stratejilerini ve bir ihlal olması durumunda güçlü bir veri koruma planını uygulamaya koymak için geleneksel sıfır güven yöntemlerinin ötesinde düşünmesi gerekir.
Tüm yazılım tedarik zincirini koruyun
Açık kaynaklı yazılıma olan bağımlılığın, özellikle federal hükümetin inovasyondaki değerini görmeye devam ettiği kamu sektöründe, azalması beklenmiyor.
Bu, sıfır güven korumasına ek olarak, BT görevlilerinin olası yazılım tedarik zinciri saldırılarına karşı siber güvenlik çabalarını da dahil etmesi gerektiği anlamına gelir. Bu, BT personeline bir yazılım ürününün bileşenleri hakkında veri sağlamak için bir yazılım malzeme listesi (SBOM) gerektirme gibi adımları içerebilir.
Ayrıca, olası güvenlik açıklarına karşı koruma sağlamak için kuruluş genelinde yazılım bileşenlerinin sık sık yamalanması ve güncellenmesi de dahil olmak üzere BT yöneticilerinden güçlü siber hijyen gerektirir.
Verilerinizi koruyun
Halihazırda gerçekleşmiş olabilecek bir saldırıyla mücadele etmek için BT yöneticilerinin verilerinin de korunduğundan emin olmaları gerekir.
İlk olarak 2017’de Ukrayna’ya yapılan bir saldırıda tanımlanan bir kötü amaçlı yazılım türü olan NotPetya’da keşfettiğimiz gibi, saldırının kendisinin, yalnızca kullanıcıların verilerine erişememesine neden olan meşru bir yazılım güncellemesinde yüklenen fidye yazılımı olduğu düşünülüyordu. Bununla birlikte, sonuçta, virüslü bilgisayarlardaki verileri geri alınamaz bir şekilde yok eden ve küresel olarak 10 milyar dolarlık hasara neden olan hızlı yayılan bir silecek saldırısı olduğu bulundu.
Bu tehditlerin doğasında bulunan risk nedeniyle, kuruluşların güvenilir, doğrulanmış ve test edilmiş bir veri yedekleme stratejisi uygulaması hayati önem taşır ve tüm kritik görev iş yüklerine dağıtılabilir.
Bu, bir yedeklemenin bütünlüğünün yapıldığı andan itibaren doğrulanabilir olmasını ve böyle bir saldırı durumunda hızlı bir şekilde geri alınabilmesini sağlamak gibi adımlar atmak anlamına gelir. Yedekler ayrıca, çıkarılabilir sürücülerde depolanarak, sağlamlaştırılmış havuzlarda korunarak, uçtan uca şifrelemeyle güvence altına alınarak veya fidye yazılımı iyileştirme yetenekleriyle korunarak saldırılara karşı dayanıklı olmalıdır.
Yazılım tedarik zincirinde tam görünürlük olmadan, güvenlik açıklarını belirlemek zor olabilir. Yazılım tedarik zincirini güvence altına alma çabaları sürerken, şirket içinde, bulutta ve diğer yazılım tabanlı sistemlerde kapsamlı bir veri koruma stratejisine sahip olmak kritik bir arıza güvenliği ve dolayısıyla en kapsamlı koruma şeklidir.
Sıfır güven, potansiyel siber saldırıların yenilgiye uğratılmasında önemli bir strateji olmaya devam ediyor, ancak giderek daha karmaşık hale gelen düşmanlara karşı uygulanacak stratejilerden yalnızca biri. Devletin bu tür tehditler karşısında dirençli olmasını sağlamaya yardımcı olmak için, temelinde güçlü bir veri koruma stratejisi olması zorunludur.
yazar hakkında
Rick Vanover, akıllı veri yönetimi ve yedekleme konusunda uzmandır. Rick, Veeam’deki rolünde birçok depolama türünün kavşağında yer almaktadır. Depolama sistemleri, kritik uygulama verileri, buluttaki veriler veya aradaki herhangi bir yerdeki veriler olsun, Rick, BT uygulamaları yeni teknolojilerle değiştikçe veri yönetimi uygulamasında deneyime sahiptir. Twitter’da Rick’i takip edin @RickVanover.