Yazılım, kritik sistemlerden günlük cihazlara kadar her şeyi güçlendiren dünyamızın görünmez altyapısıdır. Ancak her yerde olması onu birincil bir hedef haline getiriyor. Soru, bu yazılımın ne kadar güvenli olduğu değil, gittikçe daha sofistike tehditlerden korunmak için nihai sorumluluğu kim taşıyor? Bu, BT güvenlik uzmanları, yazılım geliştiricileri ve aslında tüm toplum için kritik bir sorudur.
Yazılım tedarik zinciri önemli miktarda inovasyon sağlar, ancak aynı zamanda birçok gizli riskin kaynağıdır. Kritik işlemleri mümkün kılar, ancak önemli bir saldırı yüzeyi sunar. Hassas verilerin korunması ile emanet edilen federal kurumlar bile, harici yazılıma olan güvenlerinden kaynaklanan güvenlik açıklarına maruz kalmaktadır. Bu gerçeklik, tüm tedarik zinciri boyunca riskleri tanımlamak ve azaltmak için proaktif önlemlere öncelik veren yazılım güvenliğine yaklaşma konusunda temel bir değişim gerektirir.
Ayrıca, ajansların ve kuruluşların yazılımlarını güncellemelerini sağlamak kaybeden bir oyun olabilir. 2023’te, uygulamaların% 33’ü 2021’den beri meşhur Log4shell uzaktan kod yürütülmesine karşı savunmasızdı. Bu yüzden düzenleyiciler gözlerini yazılım tedarik zincirine çevirdi.
Federal politika ve yeni görevler
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) yönergeleri ile uyumlu olarak, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), federal yazılım satıcılarının yazılım geliştirme güvenliği en iyi uygulamalarını takip etmesini gerektiren güvenli yazılım geliştirme onaylama formu da dahil olmak üzere yeni yetkiler duyurdu. Örnekler arasında sistemlerini güvenli tutmak, yazılım tedarik zinciri kaynaklarını kontrol etmek, yazılım kökenleri hakkında bilgi sağlamak ve güvenlik açıklarını ele almak yer alıyor. 14028 Yürütme Siparişine uymak için hazırlanan bu uygulamalar, NIST Güvenli Yazılım Geliştirme Çerçevesine (NIST SP 800-218) dayanmaktadır. Form, Yönetim ve Bütçe Ofisine (OMB) federal sözleşmelerin güvenli satıcı yazılımı seçmesini ve siber suçlulara sistem esnekliğini korumasını sağlamanın bir yolu verir.
Yeni form, CISA ve OMB’nin yazılım üreticilerinin yazılımlarının güvenliği için sorumluluk aldıklarını ve güvenlik açıklarını hükümete satmadan önce düzeltmesinin bir yoludur. Geliştiricilerin yazılımlarının güvenliğini kanıtlamalarını istemek önemli bir motivasyon kaynağıdır. Geliştiricilere üçüncü taraflara satış yapmadan ve son kullanıcıları etkilemeden önce yazılımı güvence altına alma adımları konusunda açıklık verir. Bu hükümet odaklı gereksinimler sadece başlangıçtır. Bu sürecin kritik altyapı boyunca iyi yağlanmış ve gerekli bir süreç olması gerekir.
Şok edici anket sonuçları
Tahsilat formunu göndermenin son tarihi, kritik yazılım ve 11 Eylül 2024 için 11 Haziran 2024’tür, yine de tüm yazılımlar için, RSA Siber Güvenlik Konferansı’nda 100’den fazla güvenlik profesyonelinin bir anketi, endüstri içeriden gelenlerin sadece% 35’inin EO 14028’i bile duyduğunu ve bununla tanıdık olmayanların kabaca yarısının criterery olduğunu ortaya koymuştur.
Bu bilgi ve hazırlık eksikliği, uyumsuzluğun potansiyel sonuçları göz önüne alındığında endişe vericidir. Formu gönderemeyen veya yanlış veya eksik bilgiler sağlayamayan yazılım üreticileri, yasal ve finansal cezalarla karşılaşabilir ve itibarlarına ve güvenilirliklerine zarar verebilir.
Anket ayrıca, birçok güvenlik uzmanının yazılım tedarik zincirindeki güvenlik risklerini tanımlamak ve azaltmak için araçlara veya kaynağa sahip olmadığını ortaya koydu. Açık kaynaklı yazılım bileşenleri yazılım geliştirmede yaygın olarak kullanılır, ancak yeni güvenlik açıkları ve bağımlılıkları getirebilir.
Ankete katılanların yarısından fazlası şirketlerinin açık kaynaklı yazılım bileşenleri kullandığını, ancak sadece% 16’sı ortalama açık kaynaklı yazılımın güvenli olduğunu söyledi. Buna ek olarak, katılımcıların sadece% 56’sı açık kaynaklı yazılımlarda güvenlik açıklarını tespit etmek için araçlara sahip olduğunu bildirmiştir,% 24’ü emin değildir ve% 20’si araçlardan yoksundur.
Anket ayrıca güvenlik profesyonellerinin bütçe sınırlamaları ve personel sıkıntısı ile karşılaştıkları zorlukları vurguladı. Katılımcıların neredeyse yarısı bütçe kısıtlamaları ile mücadele ettiklerini ve üçte biri, uygun yazılım tedarik güvenliği önlemlerini benimsemeleri için personelden yoksun olduklarını söyledi.
Nasıl ilerliyoruz?
Bu bulgular, hükümetin beklentileri ile endüstri bilgisi ve yazılım geliştirmeyi güvence altına alma yetenekleri arasında önemli bir boşluk olduğunu göstermektedir. Hükümet, yeni kurallar ve standartlar uygulayarak ülkenin siber güvenliğini artırmaya çalışırken, birçok yazılım üreticisi hazır değildir veya henüz bir öncelik veya daha kötüsü yapmaz, uymaya istekli değildir.
Bu boşluğu kapatmak için, yazılım üreticileri ve güvenlik profesyonellerinin kendilerini ve kuruluşlarını en son uyum düzenlemeleri ve en iyi uygulamalar konusunda eğitmeleri gerekir. Ayrıca, yazılımlarının bileşenlerini ve kaynaklarını izlemelerine ve yönetmelerine yardımcı olabilecek SBOM’ların oluşturulmasına ve bakımına öncelik vermeleri gerekir. Ekiplerin, yazılımlarının kalitesi ve güvenliği konusunda gerçek zamanlı görünürlük sağlayabilecek araçlara ve teknolojilere yatırım yapmaları ve bunları güvenlik açıkları veya anormallikleri konusunda uyarmaları gerekir.
Güvenli yazılım geliştirme sadece bir uyum meselesi değil, aynı zamanda bir sorumluluk ve güven meselesidir. Yazılım geliştiricileri ürünlerinin güvenliğini onayladıklarında ve güvenlik açıkları için sorumluluk aldıklarında, kendi çıkarlarını korurlar ve ulusal güvenlik ve kamu refahını artırırlar. Yazılımlarının güvenliğini talep eden ve doğrulayan yazılım tüketicileri sadece kendi veri ve sistemlerini korumakla kalmaz, aynı zamanda yazılım üreticilerini sorumlu tutar ve uygulamalarını geliştirmeye teşvik eder. Birlikte, yazılım üreticileri ve tüketiciler daha güvenli ve esnek bir yazılım tedarik zinciri ve ulus yaratabilir.
Yazar hakkında
Nick Mistry, yeni ve gelişmekte olan teknoloji çözümlerinin geliştirilmesi ve uygulanmasında 20 yılı aşkın deneyime sahip olan Lineaje SVP & Ciso’dur. Nick, çokuluslu şirketlerde ve hükümette önde gelen bulut güvenliği, uygulama güvenliği ve siber girişimlere sahiptir. Ayrıca, ABD Federal Hükümet Veri Konsolidasyon Programı, FedRamp ve Healthcare.gov.gov’u sırasıyla DOD, GSA ve CMS’yi destekleyen “Fix It” girişimlerini uygulamak için teknik mimari çabaları önderlik etti. Ken Ernst Kuzey Amerika Yenilikçileri Ödülü sahibi. https://www.lineaje.com/