Uygulama Güvenliği, Yönetişim ve Risk Yönetimi, Devlet
Yazılımı Yeniden Yazmanın Firmaları Zorlayabileceğini ve Yeni Güvenlik Açıkları Ortaya Çıkarabileceğini Söylediler
Chris Riotta (@chrisriotta) •
4 Mart 2024
Ulusal Siber Direktör Ofisi tarafından yayınlanan son kılavuz, yazılım üreticilerinin evrensel olarak bellek açısından güvenli programlama dillerini benimsemesini tavsiye ediyor, ancak uzmanlar Information Security Media Group'a mevcut yazılımların bellek açısından güvenli dillere dönüştürülmesinin maliyetli bir şekilde yenilenmesinin yeni güvenlik riskleri oluşturabileceğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | Sıfır Güven Sağlamak İçin Makine Öğrenimini ve Hiper Ölçekli Bulutu Kullanmak
ONCD raporu, teknoloji üreticilerinin “ilk günden itibaren” yeni ürünler tasarlamak ve oluşturmak için kullanabileceği düzinelerce bellek açısından güvenli programlama diline işaret ediyor ve bellek açısından güvenli programlama dillerine geçişin endüstriler genelinde “siber güvenlik üzerinde bariz şekilde olumlu bir etkiye sahip olduğunu” söylüyor . Üreticiler, yüksek etkili eski kodları bellek açısından güvenli programlama dillerine taşıyarak “dijital ekosistemdeki bellek güvenliği açıklarının yaygınlığını önemli ölçüde azaltabilir” diyor.
Teknoloji güvenliğinden sorumlu ulusal siber direktör yardımcısı Anjana Rajan yaptığı açıklamada, “35 yıldır hafıza güvenliği açıkları dijital ekosistemi rahatsız ediyor” dedi. “Bu şekilde olmak zorunda değil.”
Uzmanlar ISMG'ye, bellek açısından güvenli programlama dilleriyle yeni ürünler oluşturmanın, yazılım bileşenlerinin güvenliğini sağlamaya yönelik kritik bir adım olduğunu söyledi. Bellek güvenliği açıklarının bilgisayar korsanlarının, siber suçluların ve yabancı düşmanların federal sistemlere yetkisiz erişim sağlamasına olanak verebileceğini belirttiler. Ancak uzmanlar, bellek güvenliği olmayan dillerde yazılan eski kod ve bilgi teknolojilerini taşımanın çoğu kuruluş için fazla gerçekçi ve riskli olabileceği konusunda da uyardı.
Veracode'un kurucu ortağı ve baş teknoloji sorumlusu Chris Wysopal, “Hafıza bozulması güvenlik açıklarını ortadan kaldırmaya stratejik olarak odaklanmak, yaygınlıkları nedeniyle çok önemlidir” dedi. “Ancak mevcut yazılımın bellek açısından güvenli dillerde tamamen yeniden yazılması pratik değildir, pahalıdır ve yeni güvenlik açıklarına neden olabilir.”
Raporda, uzmanların kritik sistemlerde C ve C++ gibi programlama dillerinin “her ikisinin de bellek güvenliğiyle ilgili özelliklerden yoksun olduğu ve aynı zamanda yüksek oranda çoğalmaya sahip” olduğu tespit edildiği belirtiliyor.
Güvenlik firması Contrast Security'nin kurucu ortağı ve baş teknoloji sorumlusu Jeff Williams'a göre, çoğu kurumsal yazılım ve mobil uygulama zaten bellek açısından güvenli dillerde yazılmış olsa da geliştiriciler bazı senaryolarda güvenlikten ziyade performansa öncelik veriyor.
Williams, ISMG'ye şöyle konuştu: “Beyaz Saray'ın yalnızca nispeten küçük bir güvenlik açığı sınıfına odaklanıp, her şeyin tamamen yeniden yazılmasını gerektiren ve neredeyse bunun geçersiz bir mektup olduğunu garanti eden bir teknik (dil değiştirme) önermesi beni hayal kırıklığına uğrattı.”
Williams, yalnızca bellek açısından güvenli programlama dillerine odaklanmak yerine, diğerlerinin yanı sıra çalışma zamanı güvenliğini (bellek koruması, uygulama sanal alanı oluşturma ve davranış analizi) içeren ek önlemlerin de dijital ekosistemler için büyük faydalar sağlayabileceğini söyledi.
“Umarım kılavuzlarını yalnızca dil değiştirmekle kalmayıp, çalışma zamanı güvenliğini de tavsiye edecek şekilde genişletirler.”
Raporda, üreticilerin şu anda donanım yoluyla bellek güvenliğini uygulamaya yönelik tamamlayıcı yaklaşımlar araştırdıkları ve kullanımdan önce bellek konumlarına yönelik işaretçilerin geçerliliğini çapraz kontrol etmek için yeni bellek etiketleme uzantılarını test ettikleri belirtiliyor. Büyüyen uzay teknolojisi sektörü, insan hatası riskini en aza indirmek için “tasarım gereği güvenli” ilkelerine ve dijital otomasyona giderek daha fazla güveniyor. Rapora göre, “Uzay ekosistemi bellek güvenliği açıklarına karşı bağışık değil.”
Siber Güvenlik ve Altyapı Güvenliği Ajansı'nda siber inovasyon uzmanı ve Endor Labs'ın baş güvenlik danışmanı Chris Hughes, yeni önerilerin “dünya çapında sayısız sistemi, uygulamayı ve yazılımı etkileyen sistemik güvenlik açıklarını ortadan kaldırmaya yardımcı olma potansiyeli taşıdığını” söyledi.
Ancak Hughes ayrıca potansiyelin “işgücü, zaman ve daha fazla maliyete yol açtığını ve büyüme ve gelir gibi diğer hedeflerin yanı sıra mevcut tüketiciler ve ürün müşterileri için yeni özelliklerde gecikmelere yol açabileceğini” de söyledi.
ONCD, yazılım üreticilerinin halihazırda son kullanıcılara yüklenen güvenlik yükünü daha da azaltmak için Ortak Zayıflık Sayımı da dahil olmak üzere Ortak Güvenlik Açığı ve Etkilenme verilerini zamanında ve kapsamlı olarak yayınlamalarını önermektedir. CISA'nın Eylül ayında yayınlanan açık kaynaklı yazılım güvenliği yol haritası da üreticileri hafıza açısından güvenli programlama dilleri kullanmaya teşvik ediyor.