Günümüzde siber saldırıların giderek daha karmaşık hale gelmesiyle birlikte, modern yazılım uygulamaları giderek daha karmaşık hale geldi ve üçüncü taraf bileşenlere bağımlı hale geldi.
Yazılım uygulamaları nadiren sıfırdan oluşturulur; bunun yerine düzinelerce (yüzlerce olmasa da) bir araya getirilmişlerdir. açık kaynaklı yazılım kitaplıklar, üçüncü taraf modüller ve ticari bileşenler.
CISSP, CIOSO Global’in Kurucu Ortağı.
Yazılım Malzeme Listesi (SBOM), modern uygulamalar için bir zorunluluk olarak ortaya çıkmıştır. siber güvenlik. Ancak SBOM’lar genellikle isteğe bağlı olarak görülüyor veya tamamen ihmal ediliyor.
CISO’lar ve teknoloji liderleri için yazılım tedarik zincirinin şeffaflığı kör bir nokta haline geldi. İçeriğini bilmeden uygulamaları hayata geçirmek akıllıca değildir.
Kapsamlı bir SBOM artık en iyi uygulama değil; bu bir temel gerekliliktir. Ve bu sürekli olmalı; tek seferlik bir anlık görüntü değil.
CISO’nun İkilemi: Bilinen Risk, Görünmez Bağımlılıklar
Bir uygulamaya eklenen her öğe, ortamdaki potansiyel güvenlik açıklarını ortaya çıkarma riski taşır. Sorun, dağıtılan yazılımın gerçekte ne olduğuna ilişkin sınırlı görünürlükte yatmaktadır.
2021’deki meşhur Log4Shell güvenlik açığı (CVE-2021-44228), kritik bir sıfır gün güvenlik açığıydı. Birçok kurumsal uygulamada yerleşik olarak yaygın olarak kullanılan bir günlük kitaplığı olan Apache Log4j’yi etkiledi.
Güvenlik açığı, saldırganların etkilenen sistemlerde uzaktan rastgele kod yürütmesine olanak tanıdı. Log4j’in Java Adlandırma ve Dizin Arayüzü (JNDI) arama işlevindeki hatalı giriş doğrulamasından kaynaklandı.
Kuruluşlar, keşfedildikten sonra nerede ve nasıl açığa çıktıklarını belirlemek için haftalarca, hatta bazı durumlarda aylar harcadı. Bazı durumlarda SEC, halka açık şirketlerin etkiyi kısa zaman dilimlerinde raporlamasını zorunlu kıldı. Başka bir deyişle, bir SBOM’un hızla oluşturulması gerekiyordu.
En büyük işletmeler için bu neredeyse imkansız bir görevdi! Bu bilgiyi sağlayacak bir SBOM’ye sahip olsalardı, bu zorluktan kaçınılabilirdi; bu da kuruluşların maruziyeti haftalar yerine saatler içinde belirlemesine ve azaltmasına olanak tanıyordu.
SBOM Nedir ve Neden Önemlidir?
SBOM, bir yazılım uygulamasında yer alan ve uygulamayı çalıştırmak için gerekli yazılım “yığınında” yer alan kitaplıklar, çerçeveler ve modüller de dahil olmak üzere tüm bileşenlerin kapsamlı bir listesidir. Bu şunları içerebilir: işletim sistemleriaygıt sürücüleri, donanım yazılımı vb. Kod için beslenme etiketinin dijital eşdeğeridir.
Doğru yapıldığında SBOM güvenlik ekiplerine şunları sağlar:
– Doğrudan ve geçişli (gömülü) bağımlılıklara ilişkin tam görünürlük.
– Bilinen güvenlik açıklarına maruz kalma durumunu hızlı bir şekilde değerlendirme yeteneği.
– Sürekli risk izleme ve uyumluluk için bir temel.
Kısacası, uç noktalarımızda, sunucularımızda ve sanal makinelerimizde varlık yönetimi araçlarından ve EDR/MDR’lerden faydalandığımız yazılım hiyerarşimizde aynı düzeyde görünürlük sağlar.
Ancak günümüzün talihsiz durumu, yazılım satıcılarının ya eksik SBOM’lar sağlaması ya da bunları hiç sunmamasıdır. Diğer bir sorun ise dahili geliştirme ekiplerinin bunları oluşturup sürdürecek araç veya disiplinden yoksun olmasıdır.
Sürekli Görünürlük Durumu
Bir SBOM, her kod değişikliği, yeni sürüm veya yama ile güncellenen, yaşayan bir belge olarak ele alınmalıdır. Tehdit aktörleri “görünmez” bir güvenlik açığından yararlanmak için bir sonraki üç aylık inceleme döngünüzü rahatlıkla beklemeyecektir. Yeni bir CVE yayınlanır yayınlanmaz harekete geçme zamanıdır.
2020’deki SolarWinds saldırısı günümüzün karmaşık yazılım zincirlerinin klasik bir örneğidir. Bilgisayar korsanları, güvenilir bir yazılım satıcısının derleme ortamından yararlanarak rutin bir güncellemeye kötü amaçlı kod ekledi.
En iyi yama uygulamalarını dini olarak takip eden kuruluşlar bile ağlarına bu arka kapı açıldığında kurban oldular. SolarWinds’in SBOM disiplini olsaydı, maruz kalma durumu daha önce tespit edilebilirdi.
SBOM’un Benimsenmesi İçin En İyi Uygulamalar
Dayanıklı bir yazılım tedarik zinciri oluşturmak isteyen kuruluşlar için temel öneriler şunlardır:
Tüm satıcıların SBOM’larını zorunlu kılın: Tedarik ve satıcı risk değerlendirme sürecinizin bir parçası olarak kapsamlı, makine tarafından okunabilen SBOM’lara ihtiyaç duyun.
Tüm dahili geliştirme ekiplerinden SBOM’ları zorunlu kılın: Yazılım mimarinizin, tasarımınızın ve geliştirme ekiplerinizin bir parçası olarak kapsamlı, makine tarafından okunabilen SBOM’lara ihtiyaç duyun. Tüm boru hattınızı yukarıdan aşağıya, içten dışa doğru tanıyın.
BT Operasyon ekipleri, Dynatrace gibi modern gözlemlenebilirlik araçlarını kullanarak sürekli görünürlüğü korumalıdır.
SBOM araçlarını geliştirme yaşam döngünüze entegre edin: Oluşturma süresi boyunca SBOM’lar oluşturmak ve zaman içindeki değişiklikleri izlemek için Snyk, Endor Labs veya Scribe Security gibi otomatik araçlardan yararlanın.
SBOM bakımı için yönetişim oluşturun: Sahipliği tanımlamak, tempoyu güncellemek ve güvenlik açığı yönetimi iş akışlarıyla entegre etmek için net politikalar yazın. Görünür, tutarlı ve iyi yürütülen bir istisna yönetimi programı oluşturun.
Yazılım bileşeni güvenlik açıklarının yukarıda belirtilen araçlarla keşfedilmesi genellikle zor, maliyetli veya düzeltilmesi zahmetli olan bir durumdur.
Bu durumlarda, güvenlik açığının varlığını “tolere etmeyi” seçebiliriz ancak bu, istisna yönetişim süreci yoluyla yönetilmeli ve mümkün olduğunda bir dizi telafi edici kontrol sürdürülmelidir.
Proaktif güvenlik açığı taraması için SBOM’ları kullanın: Gerçek zamanlı risk öngörüleri için SBOM envanterinizi Ulusal Güvenlik Açığı Veritabanı (NVD) gibi veritabanlarıyla çapraz referanslayın. Bunu uç noktalarınız için yaptığınız gibi sürekli olarak yapın (gerçek zamanlı, her zaman).
Takımlarınızı eğitin: Geliştiricilerin, DevOpsve güvenlik ekipleri SBOM’ların etkili bir şekilde nasıl okunacağını, kullanılacağını ve bakımının yapılacağını anlıyor. En önemlisi, uç nokta güvenlik açığı yönetimi çabalarımızda kullanmaya başladığımız aynı disiplini geliştirme ekiplerimize de aşılayın.
Ortamınızı tanıyın: Bu güvenlik açıklarını göz ardı etmek artık kabul edilemez. Bu boşlukları kapatmak için araçlar ve bilgiler mevcuttur. Yazılım geliştirme liderlerinizin aralıksız bir kararlılığını gerektirir.
Görünürlük Pazarlık Edilemez
Yazılımı SBOM olmadan çalıştırmak, tehdit aktörlerine açık bir davet sunmaya benzer. SBOM olmadan ne çalıştırdığınızı bilemezsiniz ve bunu yaptığınız sürece sistemlerinize veya müşterilerinizin sistemlerine giren bir sonraki tehdit aktörü olma riskiyle karşı karşıya kalırsınız. Hareketsizliğin maliyeti yalnızca finansal olmayabilir; aynı zamanda itibar ve düzenleme açısından da önemli olabilir.
Siber güvenliğin yalnızca en zayıf halkası kadar güçlü olduğunu muhtemelen duymuşsunuzdur. Ve eğer bu bağlantı birkaç katman derine gömülü bir bağımlılıksa, bunun farkına varmak için bile bir SBOM’a ihtiyacınız olacak. Siber güvenlik sorunları çözülebilir. Çerçeveler mevcut. Çoğunlukla eksik olan şey kültürel bağlılık, politika geliştirme, istisna yönetimi ve uygulamadır.
CISO’lar ve yazılım geliştirme liderleri inisiyatif almalıdır. Kapsamlı SBOM’lar bir zorunluluktur; hiçbir organizasyonun onsuz olamayacağı bir savunma aracı.
Artık bunları risk çerçevelerinize, geliştirme hatlarınıza ve satıcı sözleşmelerinize dahil etmenin zamanı geldi. Ne kadar uzun süre beklerseniz, kendinizi önlenebilir tehditlere o kadar uzun süre maruz bırakırsınız.
En iyi yama yönetimi yazılımını sunuyoruz.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro