S4x24 – Miami – Enerji devi Southern Company, geçen yıl, OT sahası için bir yazılım malzeme listesi (SBOM) oluşturmak amacıyla Mississippi trafo merkezlerinden birinde çalışan ekipmanlardaki tüm donanım, yazılım ve donanım yazılımının envanterini çıkarmaya koyuldu.
SBOM deneyi, Southern Company'nin siber güvenlik ekibinin Mississippi Enerji trafo merkezine gidip oradaki ekipmanı fiziksel olarak kataloglaması, fotoğraf çekmesi ve ağ sensörlerinden veri toplamasıyla başladı. Daha sonra en korkutucu ve bazen de sinir bozucu kısım geldi: kamu hizmeti kuruluşunun keşif görevi sırasında trafo merkezinde 38 cihazı tespit ettiği 17 satıcıdan yazılım tedarik zinciri ayrıntılarının alınması.
Southern Company'nin baş siber güvenlik mimarı ve SBOM projesi başkanı Alex Waitkus, SBOM sistemlerindeki tüm donanım, yazılım, ürün yazılımı ve karşılıklı bağımlılıklar hakkında bilgi toplamanın ve ilişkilendirmenin, enerji şirketine tüm siber güvenlik süreçlerine ilişkin daha derin bir anlayış sağladığını söyledi. trafo merkezindeki yazılım bileşenleri ve bunların potansiyel olarak istismar edilebilir güvenlik açıkları. Projeden önce Southern, Dragos platformu aracılığıyla OT ağ varlıklarını görebiliyordu ancak yazılım ayrıntıları bir muammaydı.
Bu hafta S4x24 ICS/OT güvenlik konferansında yaptığı sunumda, SBOM projesini başlatmadan önce “Yazılımın farklı sürümlerini çalıştırdığımız hakkında hiçbir fikrimiz yoktu” dedi. “Trafo merkezinin farklı bölümlerini yöneten birden fazla iş ortağımız vardı.”
Bu, örneğin, hizmet kuruluşunun trafo merkezinin yazılım tedarik zincirinin tam resmini elde etmesine yardımcı olmak için fiziksel güvenlik ve bakım ekiplerine danışmak anlamına geliyordu. Southern, iki satıcıdan toplam 18 kontrol ağı sistemi cihazını katalogladı; üç satıcıdan sekiz fiziksel güvenlik cihazı; dört satıcıdan dört siber güvenlik ve telekomünikasyon cihazı; altı tedarikçiden sekiz OT izleme sistemi; ve bir satıcıdan bir OT arıza sistemi cihazı.
Projedeki bir sonraki adım, trafo merkezinde temsil edilen satıcıların her birinden SBOM'ları toplamaktı. Ancak Southern'ın ürünlerinin SBOM bilgileri için iletişim kurduğu satıcıların yaklaşık %60'ının hizmet sağlayıcıya bilgi sağlamayı reddetmesi nedeniyle bazı engeller vardı. Ve Southern'in işbirliği yapan satıcılardan SBOM'ları fiilen alması ortalama 60 gün ve bir düzine toplantı gerektirdi.
“Bu yüzden donanım yazılımını güncelliyorduk [in some cases] Waitkus, SBOM'u aldığımızda” dedi. Southern'ın bulgularını burada S4'te yazılım tedarik zinciri risk satıcısı Finite State'in CEO'su Matt Wyckhouse ile birlikte sunan Waitkus, bunun güncelliğini yitirmiş bir SBOM anlamına geldiğini söyledi. Geçen yılın S4 konferansında Wyckhouse tarafından düzenlenen OT SBOM yuvarlak masa toplantısı.
Yazılım Tedarik Zincirini Karıştırmak
SBOM'lar, olası güvenlik zayıflıklarını ve güvenlik açıklarını belirlemek için yazılımda ve yapısında şeffaflık sağlamayı amaçlayan bir yazılım programındaki bileşenlerin (bileşenler ve bunların sürümleri) bir tür listesidir. Southern'ın projesi özellikle zorluydu çünkü bir OT ortamı için bir SBOM oluşturmak, bir BT ağına göre daha fazla engelle karşı karşıya kalıyor; bunun temel nedeni, endüstriyel ağların, endüstriyel süreçlerin çalışma süresini desteklemek için kritik olan eski ekipmanlarda genellikle daha eski yazılımlara sahip olması. Ve bu eski kod hakkında bilgi edinmek kolay değil.
Waitkus, Dark Reading'e bir röportajda “Tedarik zinciri şeffaflığı, içine gireceğimi hiç düşünmediğim ilginç bir konu” dedi. Ancak Southern'ın SBOM deneyinin enerji şirketi için üç önemli güvenlik avantajını ortaya çıkardığını söyledi: NERC CIP (Kuzey Amerika Elektrik Güvenilirlik Kurumu'nun Kritik Altyapı Koruması) uyumluluk yönetimi, güvenlik açığı yönetimi ve yazılım düzeltme eki önceliklendirmesi.
“Çok sayıda trafo merkezi siteniz olduğunda, pek çok kişi cihaz yazılımı güncellemelerini uzaktan yayma konusunda her zaman rahat olmayabilir… dolayısıyla iş yapmak için sitelere giden çok sayıda insan olur. Doğru güvenlik açığı yönetimi entegrasyonuyla, yama uygulamasına öncelik verebilirsiniz güvenlik açığı ve sömürülebilirlik analizi – ve bu güncellemeler için potansiyel olarak daha düşük ek yük sağlar” diye açıkladı.
SBOM'ların aynı zamanda bir tehdidin tırmanmasından önce görünürlük sağlayabileceğini belirtti. Örneğin, “Log4j'yi düşünün: hangi yazılımın bu kusura karşı savunmasız olduğuna dair tam bir bilgi edinmek neredeyse iki yıl sürdü” dedi. “SBOM'lar bunu tanımlamaya yardımcı olabilir ve onlar için işi kolaylaştırabilir [software suppliers] gelecekte bir Log4j'ye sahip olup olmadıklarını bilmek için.”
Waitkus, SBOM'ları aynı zamanda kamu hizmetinin satın alma sürecinde de faydalı araçlar olarak gördüğünü ve Güney'in, lastikleri çalıştırma aşamasında yazılım ürünlerine ilişkin daha derin bir görünürlük kazanmasına olanak sağladığını söyledi: “Üçüncü taraf kodunuz nedir? Telif hakkı lisansınız nedir?”
Waitkus ve Wyckhouse sunumlarında projenin umdukları tüm verileri elde edemediğini ve satıcılardan gelen bilgi eksikliği nedeniyle ortaya çıkan SBOM'un genel kalitesinin ideal olmadığını itiraf etti.
Bazı satıcılar yazılımlarını tanımlama konusunda Southern'a yardım etmeye istekliydi, ancak çoğu dirençliydi. Örneğin, bir satıcı Southern'a gönderdiği bir e-postada, Biden Yönetimi'nin 2021 zaman çerçevesi kapsamındaki SBOM gerekliliklerinden daha eski olması nedeniyle kendi ürününe ilişkin SBOM bilgilerinin mevcut olmadığını söyledi. İcra Emri Kritik altyapı güvenliği için.
Güven Ama Doğrula
Ancak Southern, aldıkları satıcı SBOM'larını sadece göründüğü gibi kabul etmedi. Waitkus ve ekibi, doğru bileşen ve kod bağımlılığı verilerine sahip olduklarını doğrulamak amacıyla SBOM'ların doğruluğunu analiz etmek için komut dosyaları oluşturdu. Bir vakada Southern, donanım yazılımı analizinde satıcının SBOM'unun güncel olmadığını ve 72 bileşenin eksik olduğunu tespit etti. Diğer bazı satıcı SBOM'larında da bileşen ve bağımlılık verileri eksikti.
Southern'ın tedarikçileri tarafından sağlanan yazılım güvenlik açığı bilgilerinin doğru ve zamanında olduğundan emin olmak için inceleme yapılması da gerekiyordu, bu nedenle Waitkus ve ekibi SBOM'ları güvenlik açığı veritabanlarıyla eşleştirdi. Waitku ve ekibi, doğrulama sürecini desteklemek için güvenlik açığı değerlendirme ve analiz araçlarını çalıştırdı ve hataları ayıklamak için bağımsız güvenlik açığı test uzmanları getirdi.
Amaç, trafo merkezlerinde yararlanılabilen güvenlik açıklarını ortaya çıkarmaktı. Bazı durumlarda bu, satıcının SBOM'a dahil ettiği güvenlik açığından yararlanılabilirlik analizinin Southern'e yönelik tehditlerin gerçek resmini göstermediği anlamına geliyordu.
“Vonların sansasyonel sayısının [in some vendor reports] Waitkus katılımcılara “gerçekten o kadar da büyük değildi” dedi. Örneğin, bir açık kaynak paketinde satıcı tarafından sağlanan SBOM'da 3.000 güvenlik açığı listelenmişti, ancak Southern bunu gerçekten sömürülebilir olan yalnızca 7'ye indirdi, dedi.
Başka bir durumda, bir satıcı bir güvenlik açığını istismar edilemez olarak belirledi, ancak Southern kendi analizinde bunun aksini buldu. Sunumunda bunu kanıtlamak için “İnterweb'lerde kullanmamız için kamuya açık istismarlar vardı” dedi. “Güven ama doğrula.”
SBOM: Devam Eden Bir Çalışma
Southern Company, SBOM programını faaliyete geçirmeyi planlıyor ancak üretime geçmeden önce hâlâ yapması gereken bazı işler var. Bir zorluk: Waitkus, Dark Reading'e yaptığı açıklamada, bazı satıcı sözleşmelerinin SBOM gerekliliklerini içerecek şekilde yeniden yapılandırılmasını gerektireceğini söyledi.
Finite State'ten Wyckhouse sunumda “SBOM paylaşımı şu anda hantal” dedi. “Sadece SBOM'ları topluyorsanız ve verilerle hiçbir şey yapamıyorsanız, bunlar yalnızca bir klasördeki JSON belgeleridir.”
Bu arada OT SBOM projesinin bir sonraki aşaması başlamak üzere. Schneider Electric, MITRE, Ameren, EPRI ve Scythe; envanter, SBOM toplama, doğrulama, güvenlik açığı ve istismar analizi dahil olmak üzere Southern SBOM projesinin bazı unsurlarını otomatikleştirmek amacıyla Southern'a katılacak.