Günümüzde birçok teknoloji sektöründe ortaya çıkan siber saldırılarla, SDLC’de yazılım tedarik zincirlerinin izlenmesine her zamankinden daha fazla odaklanılmaktadır.
SolarWinds 2020’de hacklendiğinde, olay yazılım endüstrisinde şok dalgaları yarattı.
Siber güvenlik o noktaya kadar her zaman önemli olsa da, böylesine yüksek profilli bir güvenlik ihlali, insanların oturup dikkatini çekmesi kaçınılmazdı.
Saldırıyı bu kadar dikkate değer kılan şeylerden biri de tespit edilmesinin ne kadar sürdüğüydü. Bekleme süresi bir yıldan fazla sürdü – şüpheli Rus bilgisayar korsanlarının iç güvenlik, Hazine, Ticaret ve Devlet gibi devlet daireleri dahil olmak üzere müşteri kuruluşlarından değerli bilgileri çalması için fazlasıyla yeterli bir süre. Teknoloji endüstrisindeki diğer birçok üst düzey ismin yanı sıra Deloitte, Microsoft ve Intel gibi özel kuruluşlar da etkilendi.
SBOM’larla risk yönetimi, yazılım tedarik zinciri saldırılarının risklerini azaltmayı amaçlayan, şiddetle tavsiye edilen bir DevOps uygulamasıdır. Bu makalede, bu uygulamayı vurgulayacağız ve yazılım tedarik zincirini oluşturan her birim için görünürlüğün siber saldırı riskini nasıl azaltabileceğini inceleyeceğiz.
Yazılım tedarik zinciri nedir?
Çeşitli yazılım geliştirme kuruluşları, operasyonlarının verimli, günlük işleyişi için çeşitli bileşenlere güvenir. Çoğu zaman, yazılım üçüncü taraf bileşenler ve bağımlılıklarla entegredir. Bu nedenle, yazılım ürünü, her bileşen parçanın yazılım tedarik zincirini doğal olarak içerir.
Bu bağımlılık ağı, geliştiricilerin projelerini hızla ölçeklendirmelerine olanak tanır. Ancak, yazılımlarını doğrudan kontrollerinin ötesindeki diğer kaynak kodlarından ve süreçlerden devralınan güvenlik açıkları riskine sokar.
Yazılım tedarik zinciri, eklentiler, konteyner bağımlılıkları, kitaplıklar, eklentiler, ikili dosyalar ve kodlardan oluşan bir ağdır. Ayrıca newton, havuzlar, kod çözümleyiciler, günlük işlemleri araçları ve bina düzenleyicileri gibi araçlar içerir.
Ek olarak, yazılım tedarik zinciri, oluşturma sürecine dahil olan insan personeli içerir.
Operasyonların ölçeğinin bir sonucu olarak, hangi birimin nereden geldiğini bilmek, potansiyel tehditleri ortaya çıkmadan çok önce izole etmeye yardımcı olmak için tedarik zincirinin bileşenlerini tanımlamanın yollarını bulmak gerekli hale gelir.
Bu amaçla Biden Yönetimi, müşterileri olarak federal hükümete sahip yazılım kuruluşlarının ve satıcıların bir yazılım malzeme listesi (SBOM) sağlamaları talimatını verdi.
İşte bir SBPM’nin tipik bileşenleri:
● Açık kaynak bileşenleri
● Açık kaynak lisansları
● Açık kaynak sürümleri
● Açık kaynak güvenlik açıkları
Mevcut siber saldırı riski ve tehdidiyle, tedarik zincirini izlemek ve siber güvenlik riskini azaltmak için doğru adımları atmak çok önemlidir.
İşte nasıl çalıştığı:
Tarama bağımlılıkları
Açık kaynak bağımlılıkları, SDLC’nin her aşamasında risk açısından taranmalı ve değerlendirilmelidir.
Geliştiriciler, tedarik zincirindeki olası vektörler hakkında SCA (riskleri boru hattında daha fazla ilerlemeden önce azaltmak için yazılım kompozisyonu analizi) aracılığıyla öğrenebilirler.
GitHub depolarını tarayın
GitHub depoları, etraftaki bazı büyük kod kitaplıklarını barındırır. Bu nedenle, depolarının düzenli olarak taranması yoluyla platformun izlenmesi esastır.
Kullanıcılar, belirli bilgilerin ifşa edilmesini engelleyen gerçek zamanlı bildirimler alabilir. Bu şekilde, geliştiricilerin kaynak kodun geçerliliğini analiz etmesi kolaylaşır.
Hiper defterler kullanın.
Tedarik zincirinizi doğrulamak için, hyperledger teknolojilerini ve blockchain teknolojisinin yerini değerlendirmek önemlidir.
Blockchain teknolojisi merkezi olmayan bir mekanizmadır. Yazılım tedarik zinciri analizine dahil edildiğinde, büyük ölçüde şeffaflık sağlar ve gizli saldırılardaki zayıflıkların belirlenmesine yardımcı olur.
Honeytoken kullanın
Honeytoken’lar, gerçek zamanlı olarak değerlendirilmesi ve ele alınması için kuruluşları aktif bilgisayar korsanı tehditlerine ve güvenlik açıklarına karşı uyarmak için veri tuzakları rolü oynayabilir.
Honeytoken’lar, önemli güvenlik risklerinden kaçınmanıza yardımcı oldukları için mükemmeldir.
Risk değerlendirmesi yapmak
Zamanında yapılan risk değerlendirmeleri ayrıca tedarik zincirinizi izlemenin ve kötü niyetli saldırı riskini azaltmanın harika bir yoludur.
Bu, proaktif olarak yardımcı olur ve ekibinizi eğitmenin ve herkesin en iyi tedarik zinciri uygulamalarını anlamasını sağlamanın bir yolu olarak hizmet eder.
Olası dördüncü taraf sorunlarını sıralayın
Tedarik zinciri sorunları her zaman üçüncü taraf bağımlılıklarıyla ilgili değildir. Satıcınız muhtemelen kendi alt satıcılarını ve taşeronlarını kullanır.
Bu tür bir riski azaltmak zordur. Bununla birlikte, belirli siber güvenlik araçları, potansiyel güvenlik açıkları için bu boru hattını taramayı mümkün kılar.
Üçüncü taraf satıcıları izleyin
Geliştiriciler, özellikle kuruluşun yazılım varlıklarına özel erişimi olan yazılım tedarikçilerine daha fazla dikkat etmelidir.
Bu tedarikçiler, ürünün SDLC’sinin mümkün olduğu kadar bütünlüğe sahip olduğundan emin olmak için kapsamlı bir değerlendirmeden geçmelidir.
Geliştirici uç noktalarını izleyin
Geliştirici uç noktaları da izleme gerektirir. Sanal makineler, sunucular ve iş istasyonları gibi araçların zayıf yönleri sürekli olarak değerlendirilmelidir.
Ardından, verimli raporlama için uç nokta koruma mekanizmalarını, yanıt teknolojisini ve uç nokta algılamayı ayarlayabilirsiniz.
Tedarik zinciri görünürlüğünün önemi
Bilgisayar korsanları, saldırı modellerini yazılıma uyarlamaya başlıyor. Çoğu zaman saldırılar doğrudandır. Yeterince dürtme ve araştırma, dağıtılan yazılımın doğasında bulunan sistem güvenlik açıklarını ortaya çıkarır. Daha sonra, ihlalden yararlanmak için kötü amaçlı yazılım tanıtılır.
Zamanla, kötü amaçlı yazılım yayılır ve bileşen ve istemci yazılımına yayılır.
Böyle bir durumda, bir saldırıya karşı koymanın iki yöntemi vardır.
İlk olarak, işletmeler bilinen açıkları engelleyebilir ve potansiyel bilgisayar korsanları için bekleme süresini azaltabilir.
Bu nedenle, yazılım geliştiricilerin yeni ihlalleri işaretlemek için SCA’yı ve güvenlik açığı testini SDLC’ye mümkün olduğunca erken entegre etmeleri önemlidir. Güvenlik açığı tarayıcıları, kötü yazılmış kod kalıplarını arar ve dikkatiniz için işaretler.
Çözüm
İzlenecek siber güvenlik yaklaşımını anlamadan önce, yazılım kurcalama ve güvenlik açığı tespiti arasındaki farkı anlamak önemlidir.
İlk durumda, hasar zaten devam ediyor ve yazılım önemli ölçüde değiştirildi. Öte yandan, güvenlik açığı tespiti, ihlallerin kötü amaçlı giriş noktaları haline gelmeden önce tespit edilmesini ve izole edilmesini içerir.
Her iki yaklaşım da çeşitli durumlarda gereklidir.
Ancak, ardışık düzeninizi SDLC’nin her aşamasında korumanız önemlidir. Çoğu zaman, güvenlik açıkları erken aşamada ortaya çıkar ve proje dağıtılana kadar boru hattının aşağısına doğru ilerler. Bu noktada, düzeltmeler yapmak için genellikle çok geçtir.
Bilgisayar korsanları çabalarında dahiyane olmaya devam etseler de, faaliyetlerini engellemenin ve yazılım projenizi güvende tutmanın hala yolları vardır.