Yazan: Samuel Cure, CISO, AMI
Günümüzün dijital ortamında, kuruluşunuzun ürünlerinin güvenliğini sağlamak için proaktif önlemler almak çok önemlidir. Ancak yerinde iyi uygulamalar, güvenlik açığı belirlemenin dinamik doğası ve sürekli artan saldırı araçları ve teknikleri ile bile güvenlik açıkları en iyi savunmalardan kaçabilir ve piyasaya sürülen ürünlere girebilir.
Bu nedenle kuruluşların, ürünlerindeki güvenlik açıklarını belirlemeye ve gidermeye yönelik bir planı olmalıdır.
Ürün Güvenliği Olay Müdahale Ekibinin (PSIRT) rolü burada devreye giriyor.
Bir PSIRT, bir ürün veya hizmetteki güvenlik açıklarını belirlemek, değerlendirmek ve ele almaktan sorumludur.
Etkili bir PSIRT oluşturmak için birkaç temel strateji ve en iyi uygulama vardır. Bu stratejileri ve en iyi uygulamaları anlamak, kuruluşunuzun güvenlik açıklarını etkin bir şekilde ortaya çıktıkça yönetmeye ve ele almaya hazır olmasını sağlar.
PSIRT’in En İyi Beş Uygulaması
#1: Proaktif Olarak Yanıt Verin
Bir güvenlik açığı keşfedildiğinde, saat işliyor. PSIRT, iç ve dış paydaşları bilgilendirmek de dahil olmak üzere müdahale sürecini hızlı bir şekilde başlatmalıdır. Bir güvenlik açığının bir kuruluşla paylaşıldığı an, PSIRT’nin ek aşamaları başladığında sorumluluk ve durum tespiti ölçülmeye başlandığı andır. Yanıtı, belgelenecek, günlüğe kaydedilecek ve tüm iletişimler için gözetim zincirini koruyacak şekilde resmileştirin.
#2: İyi Düzenlenmiş Bir İfşa Süreci Sağlayın
Görülen bir güvenlik açığı tedarik zinciri için önemli bir tehdit oluşturuyorsa, potansiyel olarak etkilenen taraflar arasında farkındalık oluşturmak için bölgesel Bilgisayar Acil Durum Hazırlık Ekibiniz (CERT) ile bir Koordineli Güvenlik Açığı İfşası (CVD) başlatmak gerekebilir.
CERT, ABD İç Güvenlik Bakanlığı’nın (DHS) Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bünyesindeki bir kuruluştur. Tüm paydaşları bir CVD hakkında etkili bir şekilde uyarmak için aşağıdaki üç erken uyarı mekanizmasını göz önünde bulundurun:
- İç paydaşlara güvenlik açığı hakkında bilgi verin ve onlara soruşturmaları ele almaları için bilgi verin.
- Tedarik zinciri ortaklarını bilgilendirmek için CISA Traffic Light Protocol (TLP) uyarısını kullanın.
- Özel kod içeren güvenlik açıkları için, CVD süreci başlatılırken etkilenen taraflara Gizlilik Anlaşması (NDA) önerileri göndermeyi düşünün.
Tedarik zincirleri, güvenlik açıklarını belirlemek ve güvenlik açığı bilgilerini iletmek için ortak bir dile ihtiyaç duyar.
Bunu herkese açık olarak yapmanın en iyi yolu, genel uyarılar için standart olan Ortak Güvenlik Açıkları ve Riskler (CVE’ler) aracılığıyladır. Kamusal alanda (yayınlar, konferanslar vb.) ve CVD’lerde detaylandırılan tüm güvenlik açıkları için CVE’ler oluşturulmalıdır.
#3 Ambargo Politikanızı Açıkça Belirtin
Kuruluşunuzun ambargo politikasını belirleme konusunda net ve şeffaf bir duruş sergileyin. Bir güvenlik sorununun ambargosu, bir düzeltme oluşturulurken sorunun satıcı/keşif tarafından bir süre kamuya ifşa edilmeyeceği anlamına gelir.
En iyi uygulama ambargo süresi bir ila on hafta arasındadır. Ambargo, güvenlik açığının ciddiyetine bağlı olarak tanımlanmalıdır.
Güvenlik açıkları, Ortak Güvenlik Açığı Puanlama Sistemine (CVSS) dayalı bir önem puanı tanımlamasıyla bir izleme sisteminde sınıflandırılmalı ve tanımlanmış ve bildirilen bir ambargo süresi boyunca gizli bir şekilde ele alınmalıdır.
PSIRT’niz, tavsiye niteliğindeki yayınlar yoluyla elde edilir edilmez bu bilgileri müşterilere iletmeye hazır olmalıdır.
#4: Araştırmacılar ve Güvenlik Sağlayıcıları ile Ortaklık Yapın
Araştırmacılar ve güvenlik aracı satıcıları, tedarik zincirini güvence altına alma mücadelesinde hayati ortaklardır. Siber güvenlik araştırmacıları, en son araçları ve teknolojiyi kullanarak sürekli olarak yazılım ve donanımdaki güvenlik açıklarını ararlar ve bunlar PSIRT’yi iyileştirmenin temel girdileridir; güvenlik tedarikçileri ise güvenlik açıklarını belirlemek için yeni araçlar geliştirir.
PSIRT tanımlama sürecinize ne kadar çok girdi girerse, bilgiye, araçlara ve kaynaklara o kadar çok erişim sağlanır. Güvenlik açığı gözlemleme ve danışma bildirimi sürecinizi onlarla daha iyi entegre etmek için araştırmacılar ve güvenlik tedarikçileriyle işbirliğine dayalı ilişkiler kurun.
#5: Soruşturma ve Düzeltme Sürecinizi Optimize Edin
Etkili bir soruşturma, PSIRT’nin etkilenen kodu tanımlayabilmesi ve ortaya çıkan riskin müşterilere zamanında bildirilebilmesi için önemlidir. Araştırma sürecinin adımları, sürekli iyileştirme için resmi olarak belgelenmeli, ölçülmeli ve optimize edilmelidir.
İyi bir PSIRT, savunmasız kodun tüm ürünlerde ne ölçüde bulunabileceğini belirlemek için bir dizi araç, otomasyon ve yönteme sahip olmalıdır. Belirli bir güvenlik açığı tespiti için tüm kod kitaplıklarının ve ürün sürümlerinin analiz edilmesini sağlamak için genellikle otomasyon gerekir.
İyileştirmenin doğrulanması, risklerin uygun şekilde ele alındığından emin olmak için çok önemlidir. Düzeltmenin onayını ve dahili sertifikasyonu almak için resmileştirilmiş bir “onay aşaması kapısı” önemlidir.
Tüm yamaların veya düzeltmelerin doğru bir şekilde uygulandığından ve uygulandığından emin olarak, müşterilerinizin potansiyel güvenlik tehditlerinden korunduğuna güvenebilirsiniz.
İyi Bir PSIRT, Daha İyi Güvenlik Açığı Yönetimi Demektir
Bu en iyi uygulamaları izleyerek, kuruluşunuzun PSIRT’si ürün güvenlik açıklarını etkili bir şekilde tanımlayabilir ve işbirliği içinde ele alabilir. Hızlı iyileştirme çabaları ve US-CERT(CISA) veya CERT/CC(SEI) gibi bölgesel CERTS ve diğer araştırma kuruluşlarıyla koordineli iletişim yoluyla, müşterilerinizin ve ortaklarınızın güvenliğine ve memnuniyetine öncelik verebilirsiniz.
Herhangi bir PSIRT için iyi bir bilgi kaynağı, Olay Müdahale ve Güvenlik Ekipleri Forumudur (FIRST). FIRST, devlet, ticari ve akademik sektörlerden ürün güvenlik ekipleri de dahil olmak üzere çok çeşitli güvenlik ve olay müdahale ekiplerini bir araya getirir.
AMI, modern bilgi işlem için Yeniden Tasarlanmış Ürün Yazılımıdır. Güvenlik, düzenleme ve yönetilebilirlik çözümlerinde Dinamik Ürün Yazılımında dünya lideri olan AMI, şirket içinden buluta ve uca kadar dünyanın bilgi işlem platformlarını etkinleştirir. AMI’nin endüstri lideri temel teknolojisi ve sarsılmaz müşteri desteği, yüksek teknoloji endüstrisindeki en önde gelen markalardan bazıları için kalıcı ortaklıklar oluşturdu ve inovasyonu teşvik etti. AMI aynı zamanda Open Compute ekosistemi için kritik bir sağlayıcıdır ve Unified EFI Forum (UEFI), PICMG, National Institute of Standards and Technology (NIST), National Cybersecurity Excellence Partnership (NCEP) gibi çok sayıda sektör birliği ve standardının üyesidir. ) ve Güvenilir Bilgi İşlem Grubu (TCG).
Sponsorlu ve AMI tarafından yazılmıştır