Yazılım Tedarik Zincirinin 5W’si — Güvenlik Ekipleri Maliyetli Hataları Nasıl Önleyebilir?


By , Kurucu Ortak ve CEO

Yazılım tedarik zinciri tavizleri, son birkaç yıldır CISO’lar ve onların güvenlik ekipleri için ilk akla gelen konu olmuştur ve haklı olarak da öyledir. Bir yazılım tedarik zinciri saldırısının toplam maliyeti geçen yıldı.

Çoğu ekip, ürün geliştirme son tarihlerini karşılamak için, sıfırdan yazılım oluşturmak yerine yapım sürecini hızlandırmak ve üretim masraflarını azaltmak için önceden oluşturulmuş kitaplıklar ve açık kaynaklı bileşenler gibi üçüncü taraf kaynakları kullanır. Bu yaklaşım, mühendislerin ürünleri piyasaya daha hızlı, ancak risksiz olarak sunmalarını sağlar.

Yakın tarihli bir araştırmaya göre, 2022’de beş ihlalden biri bir yazılım tedarik zinciri ihlalinden meydana geldi. Bir tedarik zinciri saldırısını tespit etmek ve kontrol etmek, diğer tüm yöntemlerden ortalama olarak 26 gün daha uzun sürüyor.

ABD İcra Emri 14028 gibi artan federal düzenlemelerle birleşen çok sayıda yazılım tedarik zinciri tavizi, yazılım üreticilerinin ve tüketicilerin yazılım tedarik zinciri güvenliğini öncelik listelerinin en üstüne koymasını sağlamalıdır.

Bu makalede, yazılım tedarik zincirinin Kim, Ne, Ne Zaman, Neden ve Nerede konularını ele alıyorum; böylece siber güvenlik uzmanları, maliyetli hatalardan kaçınmaya ve marka itibarını korumaya yardımcı olmak için yazılım tedarik zinciri güvenliğinin tüm kapsamını anlayabilir.

Ne yazılım tedarik zinciri güvenliği ve artan önemi nedir?

Yazılım tedarik zinciri, yazılımın edinildiği, geliştirildiği ve son kullanıcılara teslim edildiği tüm süreci veya yazılım geliştirme yaşam döngüsü boyunca geliştirilmesinde rolü olan herhangi bir şeyi ifade eder. Kaynak bulma, uygulama geliştirme, paketleme ve CI/CD işlem hattı yoluyla teslimattan teslimata kadar yazılım geliştirme yaşam döngüsünde (SDLC) kod geliştirmeye dahil olan her şeyi ve herkesi içerir.

Bu nedenle, düzgün bir şekilde yapıldığında, yazılım tedarik zinciri güvenliği, 3CX, SolarWinds ve SolarWinds’te görüldüğü gibi, finansal maliyetlerin ve geri dönüşü olmayan marka hasarının aşılmasına yol açabilecek kötü amaçlı yazılım, yetkisiz erişim, kurcalama ve kötüye kullanım dahil olmak üzere çok çeşitli tehdide karşı koruma sağlamak için kullanılır. , ve Okta olayları.

Neden yazılım tedarik zincirinizin güvenliğini sağlamak önemli mi?

Düşmanlar her zaman en az direnç yöntemini kullanacaklardır. Çoğu tehdit aktörü, Açık Kaynaktaki yukarı akış bileşenlerini tehlikeye atarak yazılım tedarik zincirine ilk erişimi elde eder. Bunu yaparken, tehdit aktörleri bir kuruluşun ağına, tedarik zincirindeki kurcalamalar yoluyla ve yazılımdaki bilinmeyen güvenlik açıklarından yararlanarak ve ardından ağ boyunca ve üçüncü taraf kuruluşlara yanal olarak geçerek erişim elde eder. Yolculuk boyunca, saldırganlar hassas verileri çalıyor ve genellikle güvenlik ekiplerinin bilgisi olmadan iş süreçlerini bozuyor. Tespit edilmeden bırakıldığında, rakipler iş hayatında önemli kesintilere neden olma yeteneğine sahiptir ve en büyük hane isimlerini bile marka itibarı zararlarına maruz bırakabilir.

Ayrıca, SLSA, FedRAMP rev 5 ve NIST 800-53 gibi birçok düzenleme ve endüstri standardı, kuruluşların hassas verileri korumak için güvenli yazılım tedarik zinciri uygulamalarını uygulamasını gerektirir. Önümüzdeki süreç, özellikle “güvenli bir hükümet deneyimi sunmak için yazılım tedarik zincirinin güvenliğini artırma” etrafında dönüyor.

Yazılım tedarik zincirinizin güvenliğini sağlamak, siber saldırılara karşı koruma sağlayabilir, fikri mülkiyeti (IP) koruyabilir, uyumluluğu sağlayabilir ve marka itibarını, iş sürekliliğini ve risk yönetimini koruyabilir. Kuruluşların potansiyel güvenlik açıklarını belirlemede ve riskleri azaltmada proaktif olmalarını sağlar ve sonuç olarak kuruluş, ortakları ve son kullanıcıları için daha yüksek düzeyde güvenlik ve gönül rahatlığı sağlar.

DSÖ yazılım tedarik zinciri güvenliğini önemsemeli mi?

Yazılım tedarik zinciri güvenliği, her birinin kendi sorumlulukları ve odak alanları olan bir kuruluş içindeki çok çeşitli paydaş için bir endişe kaynağıdır. Tüm paydaşların riskleri anlaması ve kuruluşun yazılım tedarik zincirini korumak için uygun önlemleri alması önemlidir.

Bunlar şunları içerir:

CISO’lar: CISO’lar bir kuruluşun genel bilgi güvenliğinden sorumludur ve kuruluşun ağlarını, sistemlerini ve verilerini siber tehditlerden korumada kritik bir role sahiptir. Yazılım tedarik zinciri güvenliği bunun önemli bir parçasıdır ve CISO’ların kuruluşun yazılımını korumak için uygun politikaların, prosedürlerin ve teknolojilerin yürürlükte olduğundan emin olması gerekir.

Tedarik ekipleri: Tedarik ekiplerinin, edindikleri yazılımın saygın satıcılardan olduğundan ve güvenlik açısından bağımsız olarak doğrulandığından emin olması gerekir. Çoğu zaman, satın alma ekipleri, güvenlik çözümlerini nitelendirmek ve yazılımın şirket standartlarını karşılamasını sağlamak için güvenlikle el ele çalışır.

BT ekipleri: BT ekipleri, siber tehditlere karşı korunmak için yazılımlara düzenli güncellemeler yapmalı, bilinen tüm güvenlik açıklarını düzeltmeli ve uygun güvenlik kontrollerini uygulamalıdır.

Geliştiriciler: Geliştiricilerin, geliştirdikleri yazılımın son kullanıcılar için güvenli, hızlı ve verimli olmasını sağlamak için kod imzalama ve güvenlik açıklarını test etme gibi güvenli geliştirme uygulamalarını kullanmaları gerekir.

Savunmacılar: Savunucular, siber tehditleri ve saldırıları tespit edip bunlara yanıt vermekten sorumlu Güvenlik Operasyonları Merkezi (SOC) analistlerini içerir. Yazılım tedarik zinciri kurcalamaları ve saldırıları, çalıştırma sırasında yazılımın özel olarak analiz edilmesini gerektirir.

Ne zaman kuruluşlar yazılım tedarik zincirlerini güvence altına almayı düşünmeli mi?

Birkaç yüksek ölçekli yazılım tedarik zinciri saldırısının sonuçlarıyla birlikte, federal hükümet yazılım tedarik zincirinin güvenliğini birinci öncelik haline getirdi. Biden Yönetimi, son döneminde yazılım tedarik zincirini güvence altına almanın önemini vurguladı ve MY24 Bütçesinin kullanıma sunulmasında buna önemli bir bütçe ayırdı. Özel sektör kuruluşlarının federal şirketlerin liderliğini takip etmesi ve Biden İdaresi’nin yazılım tedarik zinciri güvenlik standartlarına uyum sağlamaya başlaması, özellikle de Yürütme Emri 14028’e uyum sağlama süresinin kısalmasıyla büyük olasılıkla daha fazladır.

ABD devlet kurumlarına yazılım tedarikçilerinin tasdik ve SBOM sağlamaları için son tarih 11 Haziran’dır, ancak Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) hala formlarla ilgili geri bildirim alıyor ve son tarihin değişebileceğine dair bir his var. temmuz ayına kadar

Ne olursa olsun, artık yazılım tedarik zincirini güvence altına alma zamanı. Bunu yapmak, kilit şirket paydaşlarının mevcut yasal sürelerin ve gelecek olanların önünde olmalarını sağlayacaktır.

Nerede güvenlik uzmanları odaklanmalı mı?

Yazılım tedarik zinciri güvenliği konusunda harekete geçmeye odaklanmanın çoğu, bir kod tabanında bulunan tüm açık kaynaklı ve üçüncü taraf bileşenlerin bir listesi olan bir yazılım malzeme listesiyle (SBOM) başlar. Bir SBOM, uygulamada kullanılan her bir yazılım bileşeni için genellikle adı, sürüm numarasını ve lisans bilgilerini içerir. Bu bilgiler, yazılım güvenliği, uyumluluğu sağlamak ve güvenlik açıklarını yönetmek için önemlidir.

Hem yazılım tüketicileri hem de üreticiler, yeni keşfedilen güvenlik açıklarını bulmak için dağıtılan tüm yazılımların SBOM’larını hızlı ve verimli bir şekilde arayabileceklerinden emin olmalıdır. Oluşturdukları veya satın aldıkları uygulamalardan oluşan tüm yazılım tedarik zincirlerini merkezi olarak yönetmeleri gerekecek, böylece SBOM’leri kuruluş genelinde yönetmelerine olanak tanıyacaklardır.

Kuruluşlar, bir şirketin tüm yazılım tedarik zincirine otomatik olarak görünürlük sağlayabilen, bir şirketin ürün portföyü için SBOM’lar oluşturabilen, bunları değerlendirebilen, bütünlüklerini sağlayan ve güvenlik profillerini sürekli iyileştirebilen yazılım tedarik zinciri çözümlerine bakmalıdır. Yazılımınızda ne olduğunu bilmek için, açık kaynak, özel ve üçüncü taraf kodu dahil olmak üzere tüm derin bağımlılıkları keşfetmek için herhangi bir yazılımın tam geçişli ayrıştırmasını yapabilen bir tedarik zinciri yöneticisi bulmak önemlidir.

Peki Sırada Ne Var?

Artık kuruluşlar ve bireyler, yazılım tedarik zincirinin 5 W’sinin ve yazılım tedarik zinciri güvenliğinin öneminin farkında olduklarına göre, buradan nereye gidecekler? Cevap yeni bir yaklaşımda yatıyor – daha iyi yazılıma odaklanmak. Yalnızca güvenli bir şekilde oluşturulmuş yazılımlar güvenli bir şekilde çalışabilir. Dünya her geçen gün daha dijital hale gelse bile, sürekli ihlaller ve saldırıların gösterdiği gibi, yazılım tüketicileri dağıtım sırasında yazılımı güvenli hale getirmekte başarısız oluyor. Şu anda her güvenlik profesyonelinin kendine güvenmesi ve “Yazılımında ne var?” Uyumlu kalmak ve günümüzün en büyük tehditlerinin önünde olmak için.

reklam



Source link