Opswright CEO’su ve Software Transparency: Supply Chain Security in an Era of a Software-Driven Society kitabının yazarı Tony Turner, onlarca yıl önce bir SQL Slammer solucanıyla karşılaştı. Etkilenen 75.000 kullanıcıdan biri olarak, ekibinin bir sonraki saldırı geldiğinde hazır olmasını sağlamak için becerilerine ve risk yönetimi deneyimine başvurdu.
Tedarik zinciri güvenliği ve ürün güvenliği alanındaki 25 yıllık kariyeri boyunca mühendislik, güvenlik ve ürün tasarımı konularında uzmanlaştı ve hatta Fortress’te Ar-Ge Başkan Yardımcısı olarak görev yaptı. Bugün, OWASP’ta bölüm lideri ve tedarik zinciri güvenliği konusunda bir düşünce lideridir.
Ürün güvenliği tedarik zincirini anlama
Ürün güvenliğinde yaptığımız her şey, başka birinin tedarik zincirinin bir parçasıdır. Üreticilerin ürünlerini güvence altına alma yeteneği, tüm tedarik zincirinin güvenlik önlemlerinden doğrudan etkilenir. Tony Turner, Left to Our Own Devices podcast’inde, “Çoğu kuruluşun tedarik zinciri güvenliği konusunda bir şeyler yapmaları gerektiğini bildiğini ancak bunun ne anlama geldiğini tam olarak bilmediklerini düşünüyorum” dedi.
Ürün tedarik zincirinin ve üçüncü taraf satıcıların güvenliği, tesis değerlendirmesi, fikri mülkiyet takibi ve veri güvenliği çalışmalarının ötesine geçmiştir. Donanım yazılımı ve ikili analiz ile birleştirilen SBOM’lar, son yıllarda farkındalığın artmasına katkıda bulunmuştur. Ama yeterli değil.
Pek çok üretici, riskin yol boyunca kaynak koduna dokunan herkesi kapsayacak şekilde genişletildiğini hala anlamıyor.
Günümüzün tedarik zinciri siber güvenliği
Her şey birbirine bağlı olduğunda, bir güvenlik açığına yama yapma veya yama yapmama kararı ürünün güvenliğini etkiler. Tony, “Hepimizin diğer varlıklarla yukarı ve aşağı yönlü ilişkileri var” dedi. Nasıl OEM’ler, operasyonlarını uygun siber güvenlik hijyeni ile yürütmek için satıcılara güveniyorsa, satıcılar da tedarik zincirlerine dönmeli ve en iyi uygulamaları yürüttüklerinden emin olmalıdır. Bu, tedarik zincirindeki yeni tehditlere zamanında yanıt vermek için konuşlandırmanın ötesine geçer.
Küçük satıcılar ve büyük üreticiler arasındaki uçurum
Tedarik zincirleri, büyük üreticiler tarafından üretilen ürünlere ulaşmadan önce küçük satıcılardan geçer. Ancak, küçük satıcının yeterli güvenlik önlemlerini sağlama bilgisi ve yeteneği sınırlıdır. Tony, “10 kişilik dükkanlar olabilirler ve siber güvenlikle ilgili ilk şeyi bilmiyorlar,” dedi. SBOM’ların cevap olduğunu söyleyebilirsiniz ama durum tam olarak böyle değil.
Tony devam etti, “Tedarik zinciri yönetiminin yazılım tarafına bakıldığında, yalnızca SBOM’lardan çok daha büyük. Daha küçük satıcılardan bazılarıyla konuştuğunuzda, bir SBOM’un ne olduğunu bile bilmiyorlar ve henüz kanunen gerekli değiller,” dedi Tony, “Aynı zamanda, bazı çok büyük üreticilerden şunu duyduk: zaten aldıkları herhangi bir bileşenin bir SBOM ile birlikte gelmesini şart koşuyorlar.” SBOM’ların artan farkındalığına rağmen, yazılım tedarik zincirleri hala bütünsel olmaktan uzaktır ve etkili uygulamaya ihtiyaç vardır.
Varlık sahipleri ve üreticiler arasındaki işbirliğindeki en büyük zorluk
Bilgi ve güvenlik araçlarına olan ihtiyacın yanı sıra, şirketlerin ellerinde olmayan zaman ve paraya da yatırım yapmaları gerekir ve birilerinin bunun bedelini ödemesi gerekir. “Varlık sahiplerinin, üreticiye ek gereksinimler koymanın finansal bir gerçekliği olduğunu anlamaları gerekiyor. Tüketicilerin satın aldığı ürünlerde birinci sınıf bir özellik haline geliyorlar.”
Bu noktayı genişleten Tony, tedarikçilerine verdiği tavsiyeleri paylaşıyor. “Tedarikçilerimden yapmalarını istediğim şey, süreci uygulamaya koymak için bir program oluşturmaya zaman ayırmaları. İnsanları işe alın ve yapmaları istenen bu şeyleri, bu maliyetlerin son tüketiciye yansıtılacağını anlayarak gerçekleştirin. Ürün güvenliği standart uygulama haline geldiğinde, maliyet, maliyet modellerine eklenecektir.” Bu, yalnızca üreticiler güvenliği işlevsellikle aynı önceliğe koyduklarında gerçekleşebilir.
Ürün yaşam döngüsünde güvenliğe öncelik vermek
Siber güvenlik, ürün geliştirme sürecinin doğrulama kısmına kadar nadiren endişe kaynağı olur. Ürün geliştirme mühendisleri, geliştirmenin ilk aşamalarında siber güvenliğe öncelik vermiyor. Ürün güvenliği gereksinimleri, işlevsel ve operasyonel gereksinimlerin yanı sıra statüde yükselmedikçe, güvenli bir bağlantılı dünya için verilen mücadele, kavrayıştan kayıp gitmeye devam edecektir.
“Tasarımı doğrularken, bir tehdit modeli veya başka türde bir faaliyet gerçekleştirebilirsiniz, ancak bu ürünün gereksinimlerinin toplanmasının ön ucunda, bu güvenliğin işlevsel ve operasyonel gereksinimlerle eşit temele sahip olması çok nadirdir. ”diyor Tony.
Şirketlerin yükünü hafifleterek müşteri güvenini kazanmak
Bağlantılı ürünlerin üreticileri ve tüketicileri olarak, kullanmayı düşündüğümüz ürünün güvenli olduğunu kanıtlayan bir tür sigorta arıyoruz. Yine de, tüm satıcılar ve üreticiler, yazılım ve donanımlarındaki her bileşeni sürekli olarak gözden geçirecek bilgi birikimine, finansal yeteneğe veya insan kaynaklarına sahip değildir.
SBOM’lar ürün güvenliği için standart çerçeve haline geldikçe, SBOM’leri yönetmek birçok kuruluşa yük olmaktadır. Tony, kuruluşların yükünü hafifletebilecek ve birlikte çalışmak isteyen müşterilerde güven uyandırabilecek ilginç bir çözüm getirdi. “Tedarikçime güvenmiyorsam, birlikte çalışabileceğim üçüncü bir taraf var ve bu soruları benim için yanıtlayabilirler ve ben de onlara güvenebilirim. Üçüncü taraf çözüm sağlayıcılar bu yükü alabilir.” Gelecekte, bu üçüncü tarafların güvenlik ekosistemindeki oyunculara sertifika vererek güven sağlaması muhtemeldir. SBOM’lara büyük ölçüde güveneceklerini varsaymak güvenlidir.