Teknoloji ürünleri ve hizmetlerinde güvenlik sorumluluğunu üreticilere ve satıcılara kaydırmaya yönelik istek uyandıran bir hareket Perşembe günü büyük bir ivme kazandı. ABD’deki ve diğer altı ülkedeki siber yetkililer, ürünlerin tasarım gereği ve en başından itibaren varsayılan olarak güvenli olmasını sağlamak için tavsiyeler ve taktikler yayınladı.
İlkeler, ana hatlarıyla belirtildiği gibi, Siber Güvenlik ve Altyapı Güvenliği Ajansı ve İngiltere, Almanya, Kanada, Avustralya, Yeni Zelanda ve Hollanda’daki emsalleri, Biden yönetiminin yakın zamanda ortaya çıkardığının arkasına daha fazla bağ dokusu ve eylem koymak ulusal siber güvenlik stratejisi.
Ortak kılavuz, birçok daha önce CISA tarafından paylaşılan tavsiyeler ve yazılım ve altyapı tasarımı için teknik tavsiyeler ve varsayılan güvenlik önlemleri için en iyi uygulamalar dahil olmak üzere diğer yetkililer.
Teknoloji sektörüne daha fazla sorumluluk yükleyen yasa ve yönetmeliklerin hızlı veya kolay çıkması muhtemel değildir. Şu an için ilkelere bağlı yaptırım mekanizmaları bulunmamaktadır.
Çabanın arkasındaki ajanslar, her teknoloji üreticisini, müşterilerin siber saldırıları azaltmak için sistemlerinde sürekli olarak izleme, rutin güncellemeler ve hasar kontrolü gerçekleştirme ihtiyacını önleyecek şekilde ürünler oluşturmaya teşvik ediyor.
Ajanslar, tasarım gereği savunmasız olarak tanımlanan statükonun sürekli zayıflıklar taşıdığını söyledi. Anlamlı değişim, teknoloji üreticilerinin ve satıcılarının tasarım ve geliştirme programlarını yenilemelerini ve güvenliğe çok daha büyük bir öncelik vermelerini gerektirir.
Ajanslar ortak kılavuzda, “Yalnızca tasarım gereği güvenli uygulamaları dahil ederek, düzeltmeler oluşturma ve uygulama kısır döngüsünü kırabiliriz” dedi.
Tasarım gereği güvenli
Yetkililer, tasarım gereği güvenli geliştirmenin, tasarım ve geliştirme sürecinin her katmanında önemli miktarda kaynak yatırımı gerektirdiğini kabul etti.
Üreticilerin, yaygın güvenlik açıklarını ortadan kaldıran programlama dillerine geçiş yapmaları ve çekici görünebilecek ancak saldırı yüzeyini genişleten özellikler yerine müşterileri koruyan özelliklere öncelik vermeleri isteniyor.
Ajanslar kılavuzda, “Teknolojik güvenlik açıklarından yararlanan kötü niyetli siber aktörlerin sürekli tehdidini sona erdirecek tek bir çözüm yok ve tasarımı gereği güvenli olan ürünler güvenlik açıklarından etkilenmeye devam edecek” dedi. “Ancak, çok sayıda güvenlik açığı, nispeten küçük bir temel neden alt kümesinden kaynaklanmaktadır.”
Ajanslar, tasarım gereği güvenlik ilkelerinin geliştirme maliyetlerini artırabileceğini ancak uzun vadede bakım ve yama maliyetlerini de azaltabileceğini söyledi.
Ana hatlarıyla belirtilen tasarım gereği güvenlik taktikleri şunları içerir:
- Rust, Ruby, Java, Go, C# ve Swift gibi bellek açısından güvenli programlama dilleri.
- Ayrıntılı bellek koruması sağlayan güvenli bir donanım temeli.
- Ticari, açık kaynak ve üçüncü taraf geliştiriciler tarafından kitaplıklar, modüller, ara katman yazılımları ve çerçeveler dahil güvenli yazılım bileşenleri.
- Siteler arası betik çalıştırma saldırılarını önlemek için kullanıcı girişinden otomatik olarak kaçan web şablonu çerçeveleri.
- SQL enjeksiyon saldırılarını önlemek için parametreli sorgular.
- Hataya açık uygulamaları tespit etmek için statik ve dinamik uygulama güvenlik testleri.
- Eş kod incelemesi
- Yazılım malzeme listesi
- Güvenlik araştırmacılarının güvenlik açıklarını yasal tehlike korkusu olmadan bildirmesine olanak tanıyan güvenlik açığı açıklama programları.
- Temel neden veya ortak zayıflık sıralaması dahil olmak üzere CVE ayrıntılarını tamamlayın.
- Tek bir denetimden ödün verilmesinin tam sistemden ödün verilmesine yol açmaması için derinlemesine savunma ilkelerine bağlı kalacak şekilde tasarlanmış altyapı.
- Karşılanan önlemler ve uygulamalar CISA’nın siber güvenlik performans hedefleri.
varsayılan olarak güvenli
Kılavuza göre, teknoloji satıcıları güvenli yapılandırmaları varsayılan temel çizgi haline getirmeli ve müşteriler bu varsayılanlardan saptığında, uzlaşma olasılığını artırdıkları çok açık olmalıdır.
Bu işareti karşılayan ürünler, en önemli güvenlik kontrollerini otomatik olarak etkinleştirecek ve müşterilere hiçbir ek ücret ödemeden güvenlik kontrollerini kullanma ve daha fazla yapılandırma olanağı sağlayacaktır.
Ajanslar kılavuzda “Güvenlik yapılandırmasının karmaşıklığı bir müşteri sorunu olmamalı” dedi.
Kılavuza göre, emniyet kemerlerinin tüm yeni arabalara dahil edilmesi ve lüks bir seçenek olarak satılmaması gibi, temel ürüne ek güvenlik yapılandırmaları dahil edilmelidir.
Varsayılan olarak güvenli taktikler şunları içerir:
- Varsayılan, evrensel olarak paylaşılan parolaların ortadan kaldırılması.
- A çok faktörlü kimlik doğrulama ayrıcalıklı kullanıcılar için yetki.
- BT uygulamaları için çoklu oturum açma.
- Müşterilere ücretsiz olarak yüksek kaliteli denetim günlüklerinin sağlanması.
- Yetkili profil rolleri ve belirlenmiş kullanım durumlarıyla ilgili öneriler.
- Güvenliğin geriye dönük uyumluluğa göre önceliklendirilmesi.
- Sertleştirme kılavuzlarının boyutunda tutarlı bir azalma.
- Güvenlik ayarlarının getirdiği kullanıcı deneyimi yüklerinin bir değerlendirmesi.
Siber yetkililer, kuruluşları, teknoloji üreticilerini ve satıcılarını ürünlerinin güvenlik sonuçlarından sorumlu tutmaya teşvik ediyor.
Ajanslar kılavuzda, “BT departmanları, tasarım gereği güvenli ve varsayılan olarak güvenli uygulamalarının önemini vurgulayan satın alma kriterleri geliştirme konusunda yetkilendirilmelidir” dedi.
“Kuruluşlar, teknoloji tedarikçilerinden iç kontrol duruşlarının yanı sıra tasarım gereği güvenli ve varsayılan olarak güvenli uygulamalarını benimsemeye yönelik yol haritaları hakkında şeffaflık beklemelidir.”