MOXFIVE Teknik Danışmanlık Hizmetleri Direktörü Michael Rogers tarafından
Linux Vakfı’nın yakın tarihli bir raporu, siber güvenlik çabalarına bağlı yazılım malzeme listesinin (SBOM) ilerlemesini ve benimsenmesini gösteriyor. Rapor, ABD Yönetiminin Ülkenin Siber Güvenliğini Geliştirmeye İlişkin Kararnamesini (EO) ve bu yılın başlarında Beyaz Saray Açık Kaynak Güvenlik Zirvesini takip ederek, yazılım bileşenlerini belirlemenin ve yeni keşfedilen yazılım açıklarına yanıtları hızlandırmanın artan önemini vurguluyor. Rapor, kuruluşların %78’inin bu yıl SBOM üretmeyi veya tüketmeyi beklediğini, bu oranın 2021’de %66’ya kıyasla arttığını ortaya koydu.
Tedarik zinciri saldırıları 2021’de yüzde 300 artarken, şirketler daha önce bilinmeyen (ve istismar etmesi kolay) güvenlik açıkları içerebilecek yaygın yazılım kitaplıklarıyla uzlaşmak zorunda kaldı. SolarWinds, Kaseya ve Log4j, yazılım tedarik zinciriyle ilgili zorlukların kaba bir uyanışını sağlayan birkaç örnektir. Kuruluşlar kendilerini serpintilerden korumak için mücadele etmeye devam ederken, hükümet yetkilileri gelecekteki güvenlik açıklarını daha az tehdit edici hale getirmenin yollarını arıyor.
Tehdit ortamı değişiyor ve harici yazılım tedarikçilerine bağımlılık giderek daha karmaşık hale geliyor. Nihai zorluk, bir yazılım bileşeninin bulut hizmetleri, uygulamalar ve altyapı genelinde her yerde bulunabilmesidir ve bu, bir güvenlik açığının tespit edilmesi durumunda bir yamayı hızlı bir şekilde dağıtmayı inanılmaz derecede zorlaştırabilir. Ayrıca birçok kuruluş, yazılımlarının savunmasız bileşen içerdiğini en başta bile bilmiyor olabilir ve bilmiyorlarsa, bunu nasıl düzeltebilirler? Teknoloji yığınınızın doğru bir kaydını tutmak, yazılım tedarik zincirindeki güvenlikle ilgili endişeleri gidermeye yönelik bir adımdır.
SBOM’ların Artan Kabulü
Bir SBOM, kuruluşların kullandıkları uygulamalara dayalı olarak risklerinin ne olduğunu hızlı bir şekilde anlamak için başvurabilecekleri bir listedir. Konsept uzun süredir var, ancak hükümet yetkilileri ve sektör yöneticileri, teknoloji ekosistemine yayılmış yazılımın derinliklerinde gizlenmiş olabilecek çok sayıda son derece tehlikeli hatayla uğraşırken Log4j serpintisinin ortasında daha fazla dikkat topladı.
SBOM’lar Log4j’yi engellemezken, temizliği çok daha hızlı yapabilirlerdi. Log4j’nin vurguladığı en büyük sorunlardan birini çözmek için özellikle iyi uyarlanmışlardır – bazı hatalar, yalnızca inanılmaz derecede yaygın olmakla kalmayıp aynı zamanda şirketlerin dijital sistemlerinde o kadar derine gömülü olan açık kaynaklı yazılım parçalarını etkiler ki BT ve siber personeli yapar. orada olduklarını bile bilmiyorlar. Linux Vakfı raporunda gösterildiği gibi, SBOM’lar oluşturmak, geliştiricilerin bir uygulamadaki bileşenler arasındaki bağımlılıkları anlamasını, bileşenleri güvenlik açıklarına karşı izlemesini ve lisans uyumluluğunu yönetmesini kolaylaştırır.
Geçen yılki SolarWinds saldırısının ardından Başkan Biden, tedarik zinciri saldırılarıyla mücadele etmek amacıyla yazılım şeffaflığını artırmak için zorunlu SBOM’ları savunan bir EO yayınladı. Bu SBOM’ların, yazılım tedarik zincirindeki herkese – yazılımı yapanlardan yazılımı satın alıp çalıştıranlara – yardımcı olma çabasıyla açık kaynaklı ve ticari tüm bileşenleri içermesi gerekir.
Bir SBOM’ye sahip olmak, “savaş sisini” azaltabilir ve işletmelerin bir referans noktası olacağı için risk ve etkiyi daha hızlı değerlendirmelerini sağlayabilir. Ayrıca temizliği hızlandıracak ve bu talihsiz durumları çok daha yönetilebilir hale getirecektir. Linux Vakfı araştırmacıları ayrıca endüstri mutabakatının ve hükümet politikasının SBOM’nin benimsenmesine ve uygulanmasına yardımcı olduğunu vurguladı; kuruluşların %80’i EO’nun siber güvenliği iyileştirdiğini biliyor ve %76’sı değişiklikleri doğrudan bir sonuç olarak görüyor.
Değişim Katalizörü
Siber olayların yalnızca iş krizleri olmadığı, aynı zamanda temel BT yeteneklerini geliştirmek için güçlü katalizörler haline gelebileceği açık hale geldi. Büyüyen bir ürün ve hizmet sağlayıcı evreni, dikkatin plana dahil edilmesi için rekabet ederken, net bir başlangıç noktası belirgin olmayabilir. CISA tarafından SBOM’larla belirtildiği gibi bir sonraki adım, işletmelerin düzeltmeye başlayabilmeleri ve maruz kalma süresini kısaltabilmeleri için savunmasız olup olmadıklarını otomatik olarak değerlendirmelerini sağlamak olacaktır. Bu elbette bir gecede olmayacak ama uğrunda çabalamak için harika bir hedef olacaktır.
Bugün, SBOM’lar isteğe bağlı değildir – yazılım tedarik zincirinin güvenliğini sağlamak için gereklidirler. Hâlihazırda bir SBOM kullanmayan kuruluşlar, bu hükümet tavsiyelerinden yola çıkarak liderliği almalı ve kuruluşlarının ve müşterilerinin yararına bir SBOM’un siber güvenlik stratejilerine nasıl uyduğunu belirlemelidir.
yazar hakkında
Michael, MOXFIVE’da Teknik Danışmanlık Hizmetleri Direktörüdür. Etkili olaylar sırasında ve sonrasında büyük işletmelere stratejik danışmanlık hizmetleri ve çözümler sunar. Siber Güvenlik alanında Yüksek Lisans Derecesine sahiptir ve GCFA, GCIA ve GOSI sertifikaları için SANS tarafından akredite edilmiştir. Küresel Güvenlik Operasyon Merkezleri, Tehdit Avlama Ekipleri, DevOps Ekipleri ve Altyapı Ekipleri oluşturma ve yönetme konusunda geniş bir deneyime sahiptir. Michael’a çevrimiçi olarak https://www.linkedin.com/in/mjrogers/ adresinden ve şirketimizin web sitesi https://www.moxfive.com/ adresinden ulaşılabilir.