Ürün güvenliği, otomotiv, medikal ve endüstriyel sektörlerde büyük değişikliklere yol açmaktadır. Ancak, sadece birkaç yıl önce, çok az kişinin bildiği ve hatta kendi disiplini olarak daha az düşündüğü bir terimdi.
Cybellum’un Kurucu Ortağı ve CEO’su Slava Bronfman, Left to our Own Devices podcast’inin son bölümünde ürün güvenliği sektörünün son on yılda olgunlaşmasını izleme deneyimini tartışıyor.
Bronfman, askerlik hizmetinden bu yana ürün güvenliği topluluğunun aktif bir üyesi ve katkıcısıdır. İsrail Savunma Kuvvetleri’nde (IDF) görev yaparken, siber güvenlik ve ürün güvenliğini o zamanlar olduğu gibi, manuel olarak öğrendi. “Orduda ürün güvenliğiyle gerçekten ilgilenmeniz gereken pek çok yer var; ekipman, endüstriyel Nesnelerin İnterneti vb.”
O zamanlar fiziksel cihazların güvenliğini sağlamak çoğunlukla manueldi, yani güvenlik açığı araştırması, güvenlik açığı yönetimi ve bunlara eşlik eden tüm eylemler sıkıcı ve zaman alıcıydı. Bir tehdidin etkisini veya öncelik düzeyini anlamalarına yardımcı olacak genel bir tehdit veritabanı yoktu. Her keşif, kendi kaynaklarını tüketen tavşan deliğine yol açar.
Slava, Cybellum’un CTO’su ve Kurucu Ortağı Michael Engstler ile burada tanıştı.
Taburcu olduktan sonra, artık “ürün güvenliği” olarak bilinen fiziksel cihazların güvenliğini sağlama sürecinin tamamını otomatikleştirmeyi üstlendiler. Daimler AG’nin eski güvenlik başkanı ve şu anki Cybellum danışmanı Ronen Lago ile görüştükten sonra, otomotiv sektöründeki siber güvenlik ortamı hakkında bilgi edindiler. Üreticiler, tedarikçiler için güvenlik uygulamalarını ve tedarik zincirinin ne kadar savunmasız olduğunu gözden geçirdikten sonra, başlamak için o sektöre odaklanmaya karar verdiler.
Ürün güvenliğinin olgunluğu
O ilk günlerden bu yana, üreticilerin zihniyetleri, yazılım tanımlı araçlara karşı sürekli olarak ortaya çıkan tehditleri ele almak için nispeten hızlı bir şekilde değişti. Bronfman, “Ürün güvenliği dünyasındaki son birkaç yılın, bir bebeğin neredeyse sıfırdan büyümesini izlemek gibiydi,” dedi. “Beş altı yıl önce ürün güvenliği terimine bile sahip değildik. Geneldi.”
O zamanlar, genellikle CISO’ya rapor veren ve daha sonra fiziksel ürünler için BT güvenlik yöntemlerini yeniden düzenleyen araç güvenliği başkanı vardı. Ürün güvenliği henüz tanımlanmış bir disiplin değildi ve bu da alandaki ilk zorluklardan bazılarına yol açtı. “Bugün baktığımızda en büyük değişikliklerden biri, ürün güvenliğinin kendi insanlarıyla, kendi bütçeleriyle vs. bir uygulama olduğunu anlamamızdır. Bu ekipler genellikle kendilerini kuruluş içindeki BT güvenlik ekiplerinin eşleri olarak gören kişilerden oluşur.”
Yetersiz donanımdan, doğrudan yönetim kuruluna cevap veren bir Baş Ürün Güvenlik Görevlisine (CPSO) rapor veren tam ekiplere sahip olmaya geçiş, memnuniyetle karşılanan bir değişikliktir.
Düzenleme
Bugün gördüğümüz düzenlemelerin çoğu, özellikle SBOM’lar ve ISO/SAE 21434 için otomotiv baskısı, SBOM’ler aracılığıyla şeffaflığı artırma fikri olarak başladı.
“Allan Friedman ile yaklaşık altı yıl önce Michigan, Escar’da tanıştım. Hala SBOM grubu, NTIA grubu veya benzeri bir şey yoktu. Alan, ABD hükümeti için çalıştı ve SBOM’larla başlayacak yeni bir girişim olduğunu ve bu faaliyete kendisinin öncülük ettiğini söyledi.” SBOM’ların birden çok endüstri tarafından benimsenmesiyle yakalandı ve hem özel sektöre hem de ABD Hükümetine yardımcı oldu.
Slava ISO’ya katıldığında, bazı insanlar ISO 21434’ün işlevsel güvenliğin (ISO26262) bir alt bölümü olması gerektiğine inandılar çünkü bunun tek ve aynı olduğuna inanıyorlardı. Bronfman, “Bu, Avrupa ISO’su ile Amerikan SAE arasındaki iyi işbirliğinin bir örneğidir” dedi. “Bence dünyadaki OEM’lerin çoğu ve dünyadaki üst düzey OEM’ler, bu standardı gerçekten ileriye taşımak için güçlerini birleştiriyor ve bu kuruluşlarla birleşiyor.” Bu, ISO ve SAE’nin bir araya gelmesi ve bu küresel ürün güvenliği girişimine katkıları ve katılımları için OEM’leri işe almaya başlamasıyla başarıldı.
Üreticilerle çalışmanın çıkarımları
Her şirket benzersiz olsa da ihtiyaç duydukları şeylerin çoğu ve cihazlarını nasıl korudukları aynıdır. Slava yıllar boyunca öğrendiği üç şeyi paylaştı:
1. Büyük şirketler, süreçler, metodolojiler ve iş akışları ile ilgili olarak sektörler ve sektörler arasında ortak noktalara sahiptir. Ön üretim sırasında güvenlik açığı yönetimi için tüm ihtiyaç süreçleri.
2. Farklı oldukları noktalar çerçeveleri, cihaz türleri ve aşamalarıdır. “Dolayısıyla, doğru süreçler, doğru raporlar, doğru panolar ve doğru iş akışları ile endüstrilerde yaygın olan ürün güvenliği konularını kapsayacak bir ürün geliştirmemiz gerektiğini düşünüyorum. Bu, hemen hemen tüm dikeylerde aynı olacaktır. Öte yandan, her müşterinin başlı başına bir proje olduğunu da anlıyoruz. Her müşterinin özel malzeme listesini anlamanız gerekir çünkü her müşterinin farklı malzemeleri vardır. Belirli cihazların mimarisini ve yaşam döngülerindeki belirli aşamaları nasıl tanıyacağınızı anlamanız gerekiyor.”
3. Yukarıda bahsedildiği gibi ortak yönler olsa da, farklılıklar uygulamada detaya inildiğinde ortaya çıkar, bu nedenle her müşterinin benzersiz ihtiyaçlarını karşılamak için kullanıma hazır bir seçenek mevcut değildir ve olamaz.
Ürün güvenliğini yönetme ve ürün güvenliğini gerçekleştirme
Tıpkı BT dünyasında olduğu gibi, ürün güvenliğinin de güvenlik açıklarının sizi bir tavşan deliğine sürüklediğini ve siz yeni ayrıntılar keşfettikçe daha acil görevler ürettiğini anlaması gerekir.
Yeni güvenlik açıklarını birer birer tespit etmek ve araştırmak, ürün güvenliği ‘yapmanın’ bir parçasıdır. Güçlü bir temel oluşturmak için gerekli adımlardan geçiyorsunuz ama bu bilgiyle ne yapacaksınız? Yararlı hale getirmek için hepsini nasıl yönetiyorsunuz?
“Riskleri anladığınızda, bir yama yayınlayarak riskleri azaltmanız gerekir. Bu, beş yıl önce, bağlantılı bir aracınız varken ve bu ekosisteme yönelik bilinen çok az tehdit varken işe yaradı. Bugün sorun şu ki, bazıları sahada, bazıları geliştirme aşamasında, bazıları tasarım aşamasında olmak üzere pek çok cihaz ve sürüm arasında gerçekten ölçeklendirme yapmanız gerekiyor.”
Geriye dönüp BT güvenlik endüstrisinin son 20 ila 30 yılda yaşadıklarına baktığımızda, ürün güvenliğinin gidişatını anlamaya başlayabiliriz. Onlar da sorunları tespit ederek başladılar, ancak bugün BT güvenlik ekipleri gerçekten sadece tespit etmekle kalmıyor, aynı zamanda orkestrasyon şeklinde yönetiyorlar.
Tıpkı BT gibi, şirketlerin de tespit ettikleri şeyi yönetmeleri gerekir – takip etme, yamaları yayma, müşterilerle iletişim vb. dahil.
Bunun büyük bir kısmı SBOM’lar
Slava, insanların etkili ürün güvenliğine yönelik kritik bir parça olarak SBOM’lar oluşturduğunu görmenin harika olduğunu paylaştı. Ancak bu SBOM’ların yönetimi olmadan güvenlik açığı yönetimi çözümleriyle senkronize edilemezler. “Artık giderek daha fazla insanın,” Tamam, tüm bu SBOM’lara sahibiz. Biz ürettik, biz yarattık, şimdi bunların bakımını nasıl yapacağız, güncel tutacağız? Oluşturduğumuz SBOM’ları veya tedarikçilerimizin onayladığı SBOM’ları nasıl doğrulayabiliriz?” vb. dedi Bronfman.
Sonuç olarak, bir disiplin olarak ürün güvenliği on yıl öncesine göre çok yol kat etti ve önünde pek çok heyecan verici ama bilinmeyen fırsat var. Önemli olan, güvenlik ekiplerinin bugün ve gelecekte güvenlik açıklarının azaltılmasına olanak tanıyan süreçler ve iş akışları oluşturarak bilinmeyenleri dikkate almasıdır.