BT güvenlik topluluğu arasında, kodun kalitesi ile siber güvenlik arasında doğrudan bir ilişki olduğu (bin kod satırı başına kodlama hatalarının yüzdesi olarak) büyük ölçüde kabul edilmektedir. Basitçe söylemek gerekirse, kodda ne kadar çok hata varsa, bunların bir saldırı vektörü olarak kullanılma şansı o kadar artar. Kod kalitesini iyileştirme baskısı, şirket içinde ve BT liderleri tarafından ve dışarıdan düzenleyiciler ve politika yapıcılar tarafından yönlendiriliyor.
Programlama kalitesini artırmanın doğrudan ve dolaylı faydaları vardır. Siber güvenlik riskinin ötesinde, üretim ortamlarında meydana gelen kodlama hatalarının düzeltilmesi, bir projenin yaşam döngüsünün başlarında tespit edilenlere kıyasla maliyetlidir. Düşük kaliteli yazılımlar müşteri ve çalışan deneyimini etkileyerek potansiyel olarak üretkenliği engeller ve gelir kaybına yol açabilir.
Yakın zamanda yayınlanan IDC’ler Dünya çapında altı aylık yazılım izleyici geliştirilmiş esneklik için talep olduğunu bildirmektedir. IDC verileri, sabit para biriminde %26’nın üzerinde büyüyen yazılım kalitesi ve yaşam döngüsü araçlarına yapılan harcamalarda bir artış olduğunu gösteriyor.
Log4Shell (çok sayıda uygulamada yerleşik olan Java tabanlı günlük kaydı yardımcı programı Log4js’deki güvenlik açığından yararlanan istismar) gibi yüksek oranda duyurulan istismarlar, teknoloji sektöründe şok dalgaları göndererek yazılım geliştirme projelerine üçüncü taraf kodunu yerleştirme riskini vurguladı. . Bu üçüncü taraf bileşenler, web hizmetleri veya kitaplıklar, yazılım geliştirmeyi hızlandırarak yalnızca zamandan tasarruf etmekle kalmaz, aynı zamanda kodlama hatalarının hacmini de azaltır çünkü programcılar, her şeyi sıfırdan geliştirmek zorunda kalmadan ihtiyaç duydukları tamamlayıcıları oluşturmak için başkalarına güvenebilirler.
Daha popüler kitaplıklar, yüzbinlerce projede kapsamlı bir şekilde test edilir, bu da hataların hızla giderilebileceği anlamına gelir. Ancak, Log4Shell’de olduğu gibi, bazıları tanımlanamayan kalabilir, bu nedenle kuruluşlar sorunu istismar edildiğinde ilk kez duyarlar.
İnterneti ve kritik ulusal altyapıyı korumak amacıyla ABD hükümetinin Ulusal Siber Güvenlik Stratejisi, BT güvenliği sorumluluğunu dijital ekosistemleri yöneten ve işleten kuruluşlara yüklüyor ve zayıf siber güvenlik sorumluluğunu kullanıcılardan bu platformları işleten şirketlere taşıyor. .
Tidelift, yeni kuralları tartıştığı bir blogda, kuruluşların yeni politikadan kaynaklandığını göreceği en yüksek düzey etkilerden birinin, hükümetin düzenleme ve zorunlu düzenlemeleri artırarak siber güvenliği iyileştirmek için daha açık ve aktif bir yaklaşım önermesi olduğu konusunda uyarıyor. Gereksinimler.
PA Consulting’de siber güvenlik uzmanı olan Joseph Foote, en son standartlarla uyumlu kalmak için, düzenlemeye tabi sektörlerdeki kuruluşların temel altyapılarının bir tür derinlemesine güvenlik güvencesinden geçtiğine dair kanıt sağlamaları gerektiğini söylüyor. “Bu şirketler uyumlu değilse, para cezaları ve cezaları riske atıyorlar ve sigorta sağlayıcılar artık sözleşmeleri yenilemeye istekli olmayabilir” diye ekliyor.
Hem finansal hem de itibar açısından iş üzerindeki risk ve potansiyel etkinin azaltılması, birçok işletmenin zihninde ön planda olacaktır ve bu, yazılım, nasıl geliştirildiği ve kuruluşun başarılı olmak için ihtiyaç duyduğu üçüncü taraf hizmetlerinin güvenliği için geçerlidir. iş hedefi.
Kodlama açısından güvenlik, Foote’un söylediğine göre, yeni yazılım özellikli özellikler uygulanırken izlenmesi gereken bir metodolojiyi yönetmeyi ve uygulamayı amaçlayan bir dizi yönergeyle başlar. Bu yönergeler, diyor, mevcut kod tabanını genişletirken belgelerin oluşturulmasını sağlamak gibi basit önerilerden, kodun yapısını ve düzenini detaylandırmaya kadar uzanıyor.
Kalite kontrol
Foote’un deneyimine göre geliştiriciler, geleceğe yönelik koruma sağlamak, modülerliği artırmak ve genel kod karmaşıklığından kaynaklanan hata olasılığını azaltmak amacıyla genellikle kod tabanlarını belirli bir tasarım paradigmasına uyarlar. Ancak, en sağlam yönergeler bile son kodda hatalara ve hatalara izin verebilir, ancak yönergeler olgunlaştıkça sorunların sıklığı tipik olarak azalır.
“En büyük etkiye neden olan güvenlik açıklarından bazıları, güvenli kodlama uygulamalarındaki gözetimlere kadar uzanabilir ve en popüler yazılımımızdaki en sorunlu zayıflıklardan bazıları, sıkı kalite kontrol ve güvenli kodlama yönergeleriyle yakalanabilirdi” diyor. .
Kötü niyetli kodların yürütülmesine izin vermek için Microsoft’un Windows işletim sistemindeki ve temel bileşenlerindeki bir güvenlik açığını hedefleyen EternalBlue’yu ele alalım. Microsoft tarafından resmi olarak MS17-010 olarak adlandırılan EternalBlue istismarı yalnızca Windows işletim sistemlerini etkilese de, SMBv1 (Sunucu İleti Bloğu sürüm 1) dosya paylaşım protokolünü kullanan her şey teknik olarak fidye yazılımları ve diğer siber saldırılar için hedef alınma riski altındadır.
EternalBlue’yu açıklayan bir gönderide, güvenlik firması Avast bir alıntı yapıyor New York Times ABD Ulusal Güvenlik Teşkilatı’nın (NSA) Windows işletim sistemindeki hatayı tespit etmesinin bir yıl sürdüğünü, ardından güvenlik açığından yararlanmak için EternalBlue’yu geliştirdiğini iddia eden makale. Göre New York Times makalesinde NSA, Microsoft’u varlığından haberdar etmeden önce beş yıl boyunca EternalBlue kullandı. NSA’ya zorla girildi ve EternalBlue bilgisayar korsanlarının eline geçerek WannaCry fidye yazılımı saldırısına yol açtı.
Foote’un işaret ettiği gibi, EternalBlue bir kodlama sorunuydu.
GoDaddy baş teknoloji sorumlusu (CTO) Charles Beadnall, BT liderlerini geliştirilmekte olan kodun en yüksek kalitede yazıldığından emin olmaya çağırıyor.
Kod daha karmaşık hale geldikçe ve üçüncü taraf hizmet ve yazılım kitaplıklarından veya açık kaynak bileşenlerinden yararlandıkça, kodlama sorunlarını belirlemek ve düzeltici önlem almak zorlaşır.
Mart 2023’te Coleman Parkes tarafından yürütülen ve Dynatrace tarafından yaptırılan, 1.000’den fazla çalışanı olan büyük işletmelerdeki 1.300 CISO’yu kapsayan bir anket, CISO’ların dörtte üçünden fazlasının (%77) güvenlik açıklarına öncelik vermenin önemli bir zorluk olduğunu söylüyor. çevreleri için oluşturdukları risk hakkında bilgi.
Sonuçları tartışan Dynatrace CTO’su Bernd Greifeneder şunları söylüyor: “Dijital inovasyonun temelini oluşturan yazılım tedarik zincirlerinin ve buluta özgü teknoloji yığınlarının artan karmaşıklığı, yeni olduğunda yanıt çabalarını hızlı bir şekilde tanımlamayı, değerlendirmeyi ve önceliklendirmeyi giderek daha zor hale getiriyor. güvenlik açıkları ortaya çıkıyor.
“Bu görevler, insanın yönetme yeteneğinin ötesine geçti. Geliştirme, güvenlik ve BT ekipleri, sahip oldukları güvenlik açığı yönetimi kontrollerinin, işletmelerini kabul edilemez risklere maruz bırakan günümüzün dinamik dijital dünyasında artık yeterli olmadığını görüyor.”
Kötü yazılım kalitesi riskini azaltmak
Boncuknall, güvenlikle ilgili önemli şeylerden birinin, ne dağıttığınıza ve nasıl izlediğinize ilişkin kontrollerin olduğundan emin olmak olduğunu söylüyor.
Bir hipotezin test edildiği ve sonuçların ölçüldüğü ve bir kontrol veri kümesiyle karşılaştırıldığı laboratuvar deneyi gibi kodlama projeleri yürütmenin büyük bir hayranıdır. “Denemeler yapmak, kullanıma sunduğunuz kod türlerini, müşteriler üzerindeki etkiyi ölçmek ve sınıflandırmak ve dağıtımı daha iyi anlamak açısından yardımcı oluyor” diyor.
Trustwave araştırmacıları kısa süre önce ChatGPT’nin kod yazma ve bilgisayar korsanları tarafından kolayca istismar edilebilecek arabellek taşması gibi yaygın programcı hatalarını belirleme yeteneğini test etti. Trustwave tehdit istihbaratı yöneticisi Karl Sigler, ChatGPT ve diğer üretken yapay zeka sistemlerinin yazılım geliştirme yaşam döngüsünün bir parçası olmasını bekliyor.
Boncuknall, üretici yapay zekayı, eş programlamayla aynı şekilde, geliştiricilerin yaptığı işi denetlemek için kullanılabilecek bir şey olarak görüyor. “Daha yüksek kalitede kod yazdığımızdan emin olmak için yapay zekanın eş programcı olarak kullanıldığı bir dizi farklı teknikle deneyler yapıyoruz” diyor. “Bence bu çok mantıklı bir ilk adım.”
Kısa vadede, kodlamayı daha güvenli hale getirmek için araçların kendileri gelişiyor. “Otomasyon ve güvenlik, etkinleştirmenin merkezinde yer alır. Yapay Zeka araçları, çalışanların yeni ve yaratıcı yollarla oluşturmasına ve üretmesine olanak tanırken güvenlik, onların işletmeye girişlerine olanak tanıyan temel güçlendirmedir,” diyor IDC’nin Avrupa yazılımı veri ve analitik ekibi başkanı Tom Vavra.
PA’dan Foote, büyük geliştirme ekiplerine sahip şirketlerin yavaş yavaş daha güvenli standartlara ve Rust gibi daha güvenli programlama dillerine geçiş yaptığını söylüyor. Bu, güvenli olmadığı düşünülen herhangi bir işlemin açıkça beyan edilmesi gereken tasarım gereği güvenli bir paradigmayı zorunlu kılarak sorunla kısmen mücadele eder ve gözetim yoluyla güvensiz işlem olasılığını azaltır.
“Secure-by-design paradigmaları, güvenli kodlama uygulamalarındaki modern gelişmelerle birlikte geliştirme uygulamalarında bir sıçramadır” diye ekliyor.
Foote, kuruluşlarının güvenli ve güvenilir olduğunu göstermek için BT liderlerinin ayrıntı odaklı güvenlik değerlendirmeleri yürütmesi gerektiğine inanıyor.