Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Form, Bellek açısından Güvenli Programlama Gereksinimleri ve SBOM'lara ilişkin Talimatları İçermez
Chris Riotta (@chrisriotta) •
13 Mart 2024
Uzmanlar Information Security Media Group'a, ABD federal hükümetinin üreticilere yönelik güvenli yazılım geliştirme öz tasdik formunun, tedarik zincirini güvence altına alma yönünde cesur adımlar attığını, ancak belgenin yinelemeli sürümlerine dahil edilmesi gereken temel bileşenlerden yoksun olduğunu söyledi.
Ayrıca bakınız: Artık İçeriden İş Yok: Bankalarda İçeriden Gelen Tehditleri Durdurmak
Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın yazılım doğrulama formunun Pazartesi günü yayınlanan son versiyonu, federal hükümetle sözleşme yapan yazılım üreticilerinin, ürünlerinin bir dizi özel güvenli yazılım geliştirme uygulamasıyla uyumlu olarak geliştirildiğini doğrulamasını gerektiriyor.
Formun yayınlanması, hükümete satış yapan “kritik yazılım” yayıncılarının formu dahil etmeye başlaması için 90 günlük bir geri sayım saatini ve diğer uygulamaların satıcıları için 180 günlük bir geri sayımı başlattı.
Federal CISO ve ulusal siber direktör yardımcısı Chris DeRusha, CISA'nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein ile birlikte Pazartesi günü ortak bir blog yazısında formun kuruluşların “güvenlik yükünün ortadan kalkması için güvenlik sonuçlarının sahipliğini almasına yardımcı olduğunu” söyledi. yalnızca müşteriye düşüyoruz.”
Endor Labs'ın güvenlik baş danışmanı ve CISA'da siber inovasyon uzmanı olan Chris Hughes, formda federal yazılım tedarikçilerinin karşılaması gereken temel güvenli geliştirme uygulamalarını içermesine rağmen “bazı temel uygulamaların ihmal edildiği görülüyor” dedi.
Hughes, doğrulama formunun son versiyonunu tehdit modelleme gerekliliklerini dışarıda bıraktığı için eleştirdi ve ISMG'ye belgede “bellek güvenliğinden bahsedilmediğini, ironik bir şekilde CISA'nın diğer yönlerden de temel mesajı olduğunu” söyledi.
Hughes, “Gereksinimleri karşılamadaki en büyük zorluklar, güvenli yazılım geliştirme uygulamalarını uygulamayan” veya Ulusal Teknoloji Enstitüsü'nün Güvenli Yazılım Geliştirme Çerçevesi gibi rehberleri takip etmeyen tedarikçiler için olacaktır, dedi. “Bu, gereken yüksek olgunluk seviyesi ve federal hükümet için yenilikçi ticari yazılım çözümlerine potansiyel olarak sınırlı erişim nedeniyle bazı tedarikçilerin federal piyasadan çıkmasına veya federal piyasadan kaçınmasına yol açabilir.”
Yazılım üreticileri, yetkilendirme ve erişim için kullanılan güven ilişkilerinin düzenli olarak günlüğe kaydedilmesi, izlenmesi ve denetlenmesiyle ürünlerinin güvenli ortamlarda üretildiğini doğrulamalıdır. Form ayrıca geliştiricilerin belirli ortamlarda çok faktörlü kimlik doğrulamayı ve koşullu erişimi zorunlu kılmasının yanı sıra hassas verileri şifrelemesini ve operasyonların ve uyarıların sürekli izlenmesi gibi savunma amaçlı siber güvenlik uygulamalarını uygulamasını da gerektirir.
Uygulama güvenliği duruş yönetimi platformu Legit Security'nin baş teknoloji sorumlusu Joe Nicastro, “Bu, hükümet tarafından kullanılan veya devlete satılan ürünlerin genel güvenliğini büyük ölçüde etkileyecek, ancak hala bazı gerçek boşluklar var” dedi. Nicastro, formun kuruluşların otomatik bir şekilde doğrulama yapmasına izin vermediğini söyledi ve bunun “bir kuruluşun güvenlik iş akışlarına oldukça manuel süreçler” getirme riski taşıdığı konusunda uyardı.
CISA, onay formunun belirli bileşenlerden yoksun olması veya genç ve kaynakları kısıtlı yazılım şirketlerinin uyumluluk için son teslim tarihini karşılamakta zorluk çekebileceği endişeleri hakkında yorum yapmayı reddetti.
Yazılım tedarik zinciri şirketi ChainGuard'da güvenlik veri bilimcisi olan John Speed Meyers'e göre, federal hükümetin yazılımının tasarım açısından güvenli olmasını sağlama konusundaki en büyük zorluğu, doğrulama formundaki kritik bileşenlerin eksikliği veya uyumluluk son tarihi değil. .
Meyers, “Sam Amca'nın satın aldığı yazılımın ne kadar 'güvenilir' olduğunu ölçmenin şu anda sistematik bir yolu yok” dedi. “Bu basit temel olmadan, bu onaylara uyan şirketlerin 'güvenilir' sistemlere yol açıp açmayacağını bilmek zor olacak.”
Uzmanlar, doğrulama formunun gelecekteki sürümlerinin daha açık güvenlik açığı yönetimi yönergelerinin yanı sıra yazılım malzeme listeleri, bellek açısından güvenli programlama dilleri ve yanlış bildirim sağlayan şirketler için daha katı cezalar için gereklilikleri içermesi gerektiğini söyledi.
Bellek açısından güvenli dillere geçişi “daha çok istek uyandıran, sektör çapında bir girişim” olarak tanımlayan Hughes, “Bellek açısından güvenli diller dışarıda bırakıldı çünkü pek çok tedarikçi henüz orada değil ve şu anda bellek açısından güvenli dilleri kullanmayı hızlı bir şekilde kanıtlayamadı” dedi. vardiya.”
“Teorik olarak altı ay, çoğu kuruluşun ortamları ayırma, günlük kaydı uygulama ve MFA kullanma gibi bazı temel gereksinimleri karşılaması için yeterli bir süre olmalıdır” diye ekledi. “Bununla birlikte, üçüncü taraf bileşenleri, menşei vb. içeren bazı uygulamalar, bu alanda şu anki haliyle olgunlaşmamış bazı kuruluşlar için zor olabilir.”