Güvenliği en temel düzeyde önceliklendiren yazılım, sistemi müşteri güvenliğinin üzerinde durulmuş bir özellikten ziyade temel bir amaç olarak tasarlanması anlamına gelir. Saldırganlar tedarik zincirlerini daha sık hedef almaya başladıkça, tasarım gereği güvenli olan bu kavram giderek daha önemli hale geliyor.
NetRise CEO’su Thomas Pace, “Tedarik zincirini başarıyla kullanarak daha büyük bir etki yaratabileceklerini anlıyorlar” diyor. EDR, güvenlik duvarları ve spam filtreleri gibi geleneksel güvenlik çözümleri kafa kafaya saldırıları önlemede başarılı olduğundan, saldırganların zincirin daha yukarısındaki açıklıkları araması gerektiğini söylüyor.
Ve birbirine yapıştırılan sistemler tam da bu tür bir açılma sağlar. ForAllSecure CEO’su David Brumley, “İşletmeler ve satıcılar olay bittikten sonra güvenliği ‘bağlamaya’ çalıştığında siber saldırılar daha kolay oluyor” diyor. “Bu, arabanıza satış sonrası bir stereo takmak gibi; tam olarak doğru çalışmıyor.”
Yazılım güvenliğini küresel olarak geliştirmek için Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yazılım geliştirme yaşam döngüsünde “tasarım yoluyla güvenlik” ilkelerini benimseyerek geliştirme uygulamalarında devrim yaratmayı amaçlayan bir girişim önerdi. Bu, proaktif güvenlik önlemlerine doğru önemli bir değişimi yansıtıyor.
bilgi talebi Tekrarlanan yazılım açıklarını gidermeye, operasyonel teknolojiyi güçlendirmeye ve güvenli uygulamaların maliyetler üzerindeki etkisini değerlendirmeye odaklanır. 20 Şubat 2024’e kadar açık olan yorum çağrısı aynı zamanda teknolojinin doğası gereği emniyetli ve emniyetli olduğu bir geleceği teşvik etme konusunda teknoloji üreticilerinin ve tüketicilerinin kolektif sorumluluğunu da vurguluyor.
Brumley, “Tasarım gereği güvenlik, güvenliğin yazılımı sıfırdan oluşturma şeklinizin bir parçası olduğu anlamına gelir” diye açıklıyor. “Bu, saldırılara karşı çok daha dayanıklı olduğu anlamına geliyor.”
Temel Güvenlik Düzeyi
Qualys Tehdit Araştırma Birimi siber tehdit direktörü Ken Dunham, tasarım gereği güvenliğin, bir kuruluş buluta geçmeden veya bulutu kullanmaya başlamadan önce operasyonlarda mimari ve risk yönetimi ilkeleriyle başladığını açıklıyor.
“Bu, modern, karmaşık hibrit altyapının kritik bir unsurudur” diyor. “Paylaşılan sorumluluk dünyasında, kuruluşlar hangi riskin üçüncü taraflarla paylaşılmasının kabul edilebilir olduğuna ve potansiyel olarak daha yüksek risk altında olduğuna ve tamamen şirket içinde sahip olunan ve yönetilen riske göre karar vermelidir.”
Yazılım üretiminin yaşam döngüsünün giderek daha karmaşık hale geldiğine ve pek çok paydaşın riski azaltmak için güvende olması gerektiğine dikkat çekiyor. Dunham şunu soruyor: “İşlevselliğe ve kullanıcı deneyimlerine önem veren geliştiricileriniz güvenli kodlama ilkeleri, modern saldırılar, güvenlik karşı önlemleri ve SecOps konusunda uzman mı?”
Kurumsal güvenlik beklentileri, işe alım ekibinin iş mimarisi içindeki yazılımı düzgün bir şekilde kullanıma sunması, yapılandırması ve izlemesi konusunda baskı oluşturur. “Olaylara müdahale ve siber tehdit istihbarat hizmetleriniz ne kadar olgun?” O sorar. “Çok yüksek hızda karmaşık bir izinsiz giriş saldırısı gerçekleştirebileceğiniz hibrit bir bulut dünyasında onlara güveniyor musunuz?”
Brumley de aynı fikirde: “Doğru insanlara sahip olduğunuzda süreç iyi anlaşılır.” “Ürünü derinlemesine savunmayla tasarlarsınız, bağımlılıklarınızın ve üçüncü taraf yazılımlarınızın güncel olduğundan emin olursunuz ve bilinmeyen güvenlik açıklarını bulmak için fuzzing gibi modern bir teknik kullanırsınız.”
Brumley’e göre varsayılan olarak güvenlik, insanların yazılımı kullanma şekline uygun güvenlik tasarımı yapmak anlamına gelir. “Birden fazla prensibi kapsayan tasarım prensipleri var; tıpkı bir gökdelen inşa ederken yapısal destekten iklimlendirmeye kadar her şeyi düşünmeniz gerektiği gibi” diye açıklıyor.
BT Güvenliğinde Paradigma Değişimi Gerekli
Dunham, 2023’ün örneklerle dolu Neresi yarış koşulları sıfır gün boyunca varlığını sürdürdü; güvenlik açıkları tersine çevrildi ve kötü aktörler tarafından eskisinden daha hızlı bir şekilde silah haline getirildi kuruluşlar bunları yamalayabilir.
“Bunca zaman geçmesine rağmen hâlâ Log4J’deki güvenlik açıklarını düzeltmeye çalışan bazı kuruluşlar var” diye belirtiyor.
Bir güvenlik açığıyla ilgili istismar ve saldırı riski arttığında öne çıkabilmek için kuruluşların iç ve dış saldırı yüzeylerini tanımlamaları ve varlıklara ve risk yönetimine buna göre öncelik vermeleri gerektiğini söylüyor.
Pace’in bakış açısına göre, BT güvenliği sektörünün riski nasıl değerlendirdiği ve riske en iyi şekilde nasıl öncelik vereceği konusunda bir paradigma değişikliğine gitmesi gerekiyor ve bu da yalnızca tedarik zincirinin görünürlüğüyle gerçekleşebilir. Kendisi, “çok büyük bir organizasyonun”, sistemi görev bilinciyle güncellerken güvenlik sisteminin ne tür bağımlılıklara sahip olduğunu bilmediği bir örneği paylaştı. “Güncelleme sonrasında bir güvenlik açığı tarayıcısı tarafından tarandı ve son güncellemenin kritik Apache Struts güvenlik açığı mevcuttu” diyor. “Şimdi bu organizasyon, kendi organizasyonlarına ciddi bir risk getirdi.”
IoT Çağında Güvenli Tasarım
Viakoo’daki Viakoo Laboratuvarları’nın başkan yardımcısı John Gallagher, en önemli zorluklardan birinin, Nesnelerin İnterneti’nin (IoT) başlangıçta tasarım açısından güvenlik konusuna sahip olmayan bölümleri gibi uzun ömürlü cihazlara güvenlik tasarlamak olduğunu söylüyor.
“Bu daha kapsamlı testler gerektiriyor ve yeni mühendislik kaynakları gerektirebilir” diyor. “Aynı şekilde, yeni güvenlik özellikleri oluşturmak, yeni güvenlik açıklarını ortaya çıkarmanın bir yoludur.”
Gallagher, yazılım üreticilerinin, güvenlik açıklarını daha hızlı bulup düzeltmek için yazılım malzeme listelerinin (SBOM’lar) kullanımını benimsemesi gerektiğini söylüyor. Şirketlerin tasarım yoluyla güvenli uygulamaları yeni ürünlere dahil ettiklerini ve bunun sonuçta pazarda rekabet faktörü olacağını belirtiyor.
“MFA ve sınırlı erişim ayrıcalıklarına ek olarak, varsayılan parolaların ortadan kaldırılması ve ürün yazılımının daha kolay ve hızlı bir şekilde güncellenmesine yönelik mekanizmalar sağlanması gibi diğer önlemler de ürünlerde tasarlanıyor” diyor.
Gallagher, “gizlilik yoluyla güvenlikten” kaçınmanın tasarımı gereği güvenliğin bir başka ilkesi olduğuna dikkat çekiyor. Örneğin SBOM’lar ve açık kaynaklı yazılımlar, yazılım kodu etrafında şeffaflık sunarak güvenlik sağlar.
Pace, varsayılan olarak güvenlik ve tasarım gereği güvenlikle ilgili olduğundan en çok heyecan duyduğu alanlardan birinin, yazılım tedarik zincirinde önemli ölçüde daha iyi görünürlük olduğunu söylüyor. “Bu görünürlük elde edildikten sonra, temel düzeyde sorunlarımızın nerede olduğunu gerçekten anlamaya başlayabilir ve ardından bunları anlamlı bir şekilde önceliklendirmeye başlayabiliriz” diyor.