Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nın uzun zamandır beklenen kurallarını fiilen uygulamanın yüce hedefleri ve potansiyel maliyetleri hakkında güçlü bir tartışma ortaya çıkıyor. Tasarım gereği güvenlik yönergeleri.
CISA, FBI ve Ulusal Güvenlik Teşkilatı ile birlikte Perşembe günü önemli uluslararası siber otoritelerle uyum içinde kapsamlı bir yönergeler seti açıkladı.
Yetkililer, küresel yazılım endüstrisini koddaki kusurları en aza indirmek, çok faktörlü kimlik doğrulamayı standart bir güvenlik özelliği haline getirmek ve kötü niyetli saldırı riskini azaltmak için başka adımlar atmak için uygulama geliştirme biçiminde önemli değişiklikler yapmaya çağırıyor.
“Şirketler elbette güvenli ürünler geliştirmek için çalışıyor, ancak [are they] müşterilerinin güvenlik sonuçlarının gerçek sahipliğini nasıl üstlendiklerini gerçekten düşünüyorlar,” Bob Lord, CISA’da kıdemli teknik danışman, bir röportajda Cybersecurity Dive’a söyledi. “Bu, tüm organizasyona yayılması gereken bir zihniyet değişikliği.”
Dahil olan hemen hemen herkes, yazılım endüstrisinin daha güvenilir uygulamalar oluşturmak istediğini, ancak bunun için gerekli iyileştirmeleri yapmak için önemli bir zaman, para ve uzmanlık yatırımı gerektirdiğini söylüyor. Korku, yenilikçiliğin, müşteri sadakatinin ve nihayetinde kârlılığın kaybıdır.
BSA olarak da bilinen Software Alliance, CISA’yı, tasarım gereği güvenlik uygulamalarını uygulamaya yönelik küresel bir çabayı bir araya getirdiği için övdü.
BSA’nın politika direktörü Henry Young e-posta yoluyla, “Kurumsal yazılım şirketleri, müşterilere ve halka karşı sorumluluklarını ciddiye alıyor ve ürünlerinin güvenliğini yeni tehditlere karşı geliştirmek için sürekli çalışıyor” dedi.
Young, tasarım gereği güvenlik ilkelerini yıllarca savunan BSA’ya atıfta bulundu ve bu ilkeler,e Güvenli Yazılım için BSA Çerçevesi. BSA, ilkeleri desteklemenin ötesinde, CISA’nın kıdemli iş liderlerine yönelik siber risk yönetiminde liderlik rolü üstlenme çağrısını da destekliyor.
CISA yetkilileri Cybersecurity Dive’a, şirket liderlerinin şirketlerin siber risk yönetimini desteklediğinden emin olmak için yukarıdan aşağıya bir yaklaşım benimsemeleri gerektiğini söyledi.
Google, hangi alenen destek sözü Şubat ayındaki çaba için, dünya genelinde hükümetlerin tasarım gereği güvenlik ilkelerine öncelik vermesinden memnun olduğunu söyledi.
“İyi bir güvenliğin, insanların eline geçen teknolojiyi geliştiren şirketlerle başladığına inanıyoruz.” Royal Hansen, Google’da gizlilik, emniyet ve güvenlik mühendisliğinden sorumlu Başkan YardımcısıPerşembe günü e-postayla gönderilen bir açıklamada söyledi.
Hansen, varsayılan olarak güvenli olan ürünler oluşturmanın “Google’ın güvenlik yaklaşımının merkezinde” olduğunu ve şirketin “işletmelerden tüketicilere ve kamu görevlilerine kadar” herkese hizmet etme biçimine kök saldığını söyledi.
Öte yandan Microsoft, tasarımı gereği güvenliğin kullanıma sunulması hakkında yorum yapmaktan kaçındı ve bunun yerine bir açıklama paylaştı. Tom Burt’tan 9 Mart bloguBiden yönetiminin ulusal siber güvenlik stratejisine desteğini ifade ettiğinde.
Bir kavram olarak güvenli tasarım çerçevesi için halk desteği olsa da, Hopr CEO’su Tom McNamaraCISA’nın iddialı hedeflerinin ulaşılabilir eylemlere dönüştürülebileceğinden şüphe duyuyor.
McNamara, e-posta yoluyla, “Yazılım koduyla ilgili sorun – ister yazılım ister donanım ürününde olsun – kapalı bir sistemde nadiren çalışmasıdır” dedi. “Onu her türlü planlanmamış etkileşime maruz bırakan, birbirine bağlı bir sistemin (kablosuz cihazları düşünün) bir parçası.”
Örneğin, McNamara’ya göre bulutta çalışan IoT cihazları ve birbirine bağlı sistemler kullanan modern üretim ortamlarında bu her zamankinden daha fazla geçerli. Bu tür ortamlarda sıfır gün güvenlik açıkları hayatın bir gerçeğidir.
McNamara, temel olarak ekonomik kaygılar nedeniyle, varsayılan olarak güvenli hale ulaşmanın daha da zor olacağını söyledi.
CISA yetkilileri, optimum güvenlik düzeyine ulaşmak için müşterilerin ürünlerde kapsamlı yapılandırma değişiklikleri yapmaktan kaçınmasına izin vererek varsayılan olarak güvenli konumlandırır. Örneğin, MFA varsayılan olarak etkinleştirilir. Yazılım kullanıcılarının ayrıca ekstra güvenlik için ek ücret ödemeleri gerekmeyecek, bunun yerine bu ek katmanlar, ürünler gönderilmeden önce ürünlere dahil edilecek.
Güvenlik, ne pahasına?
CISA’dan Lord, şirketlerin son yirmi yılı güvenlik teknolojilerine, korumalı alan oluşturma, otomatikleştirilmiş güvenlik güncellemeleri ve dayanıklılık oluşturmak için tasarlanmış diğer özellikler dahil olmak üzere yeni yatırımlar yaparak geçirdiğini kabul ediyor.
Ancak bazı endüstri liderleri, bu kadar yüksek bir standarda ulaşmak için gereken zaman ve yatırımın, yeni ürünler geliştirmek için gereken yatırım ve zaman açısından gerçek maliyetleri olacağından korkuyor.
McNamara, “Bunun için CISA standardına ulaşmak için gereken test miktarı ve kalite güvencesi, teknoloji ürünlerinin pazara sunulmasını yavaşlatacaktır” dedi. “Pazarlama zamanı önemlidir.”
Veracode’un kurucusu ve CTO’su Chris Wysopal, uygulama güvenliği testinde bir uzman, tasarım gereği güvenliğin amaçlandığı gibi çalışması için güvenliğin bir ürünün tüm yaşam döngüsü boyunca sürekli ve yerleşik olması gerektiğini söyledi.
Wysopal, e-posta yoluyla, “Tarih odaklı geliştirme kuruluşları, savunmasız ve istismara açık yazılım kusurlarını önleyen en iyi güvenlik uygulamalarından sıklıkla kaçınıyor” dedi.
Wysopal uyardı açık kaynak sistemik bir risk haline geliyor ülke için Sürekli gelişen açık kaynak kitaplıkları, bir gün güvenli görünmekten ertesi gün savunmasız hale gelir.
Otomatik güvenlik testinin, geliştiriciler tarafından kullanılan araçlara dahil edilmesi gerekir ve etkinliği belirlemek için tasarım yoluyla güvenlik süreci ölçülebilir olmalıdır. Düzenleyicilerin ve müşterilerin doğru şekilde bilgilendirildiğinden emin olmak için şeffaflığın da sürece dahil edilmesi gerekir.
Brian Fox, Sonatype’ın kurucu ortağı ve CTO’suson yıllarda artan saldırı seviyesinin, yazılım endüstrisinin müşterilerin güvenlik ihtiyaçlarına ayak uydurmakta yavaş kaldığını ve önemli değişikliklerin yapılması gerektiğini gösterdiğini söyledi.
Fox, “Yazılım tedarik zincirlerine karşı her yerde meydana gelen yeni saldırı düzeyine dayanarak, 20 yıl önce yaptığımız gibi, sabit kodlanmış parolalar ve varsayılan olarak sistemlere anonim erişim ile yazılım geliştirebileceğinizi düşünmek imkansız olmalı” dedi. e-posta “Bu kılavuz, ayak uyduramayan kuruluşlar için bunun kabul edilemez olduğunu açıkça ortaya koyuyor.”