2023 ve sonrasında güvenlik tehditleri ve tedarik zinciri saldırıları nasıl azaltılır?

Popüler programlama dillerinin ve çerçevelerinin patlaması, web uygulamaları oluşturmak ve dağıtmak için gereken çabayı azalttı.

Ancak çoğu ekip, uygulama geliştirme yaşam döngüsü boyunca biriken çok sayıda bağımlılığı ve teknik borcu yönetmek için daha fazla kaynağa, bütçeye ve bilgiye ihtiyaç duyar. Son tedarik zinciri saldırıları 2023 ve sonrasında kapsamlı uygulama güvenliği operasyonlarına duyulan ihtiyacı vurgulayan yazılım geliştirme yaşam döngüsünü (SDLC) kullandık.

Yazılım tedarik zincirine saldırmak

Tedarik zinciri saldırıları, SolarWinds ihlalinin çok iyi gösterdiği gibi, kötü niyetli kişiler yazılım tedarik zincirindeki güvenlik açıkları yoluyla bir kuruluşun güvenliğini tehlikeye attığında gerçekleşir. Bu saldırılar, popüler açık kaynak kitaplıklarında gizlenen kötü amaçlı kodlardan yararlanmak veya zayıf güvenlik duruşlarına sahip üçüncü taraf satıcılardan yararlanmak gibi çeşitli şekillerde gerçekleşir.

Gartner bunu tahmin ediyor Kuruluşların %45’i dünya çapında 2025 yılına kadar yazılım tedarik zincirlerine yönelik saldırılara maruz kalacak. Bunu göz önünde bulunduran güvenlik ve risk yönetimi liderleri, dijital tedarik zinciri risklerine öncelik vermek için diğer departmanlarla ortaklık kurmalı ve tedarikçilere sağlam güvenlik uygulamalarına sahip olduklarını kanıtlamaları için baskı yapmalıdır.

Açık kaynak ve Yazılım Malzeme Listesi (SBOM’ler)

Birçok kuruluş, web uygulaması geliştirmeyi hızlandırmak için önceden oluşturulmuş kitaplıkları ve çerçeveleri kullanır. Çalışan bir prototip bulunduğunda ekipler, uygulamaları daha verimli bir şekilde sunmak için oluşturma ve devreye alma işlemlerini otomatikleştirmeye odaklanabilir. Uygulamaları sevk etme telaşı, geliştirme operasyonları (DevOps) uygulamalarına (SDLC’yi hızlandırmak için yazılım geliştirme ve BT operasyonlarını birleştiren) ve yazılım sağlamak için sürekli entegrasyon ve geliştirme (CI/CD) boru hatlarını kullanmaya yol açtı.

Kritik uygulamalarda bilinmeyen kodun getirdiği zorlukları çözmek için Ticaret Bakanlığı, Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) ile koordinasyon içinde, bir uygulama için “minimum unsurları” yayınladı. Yazılım Malzeme Listesi (SBOM). Bir SBOM, yazılım oluşturmada kullanılan çeşitli bileşenlerin ayrıntılarını ve tedarik zinciri ilişkilerini tutar ve aşağıdakilere kaynak olarak hizmet eder:

• Bir üründe hangi bileşenlerin bulunduğunu kontrol edin.
• Bileşenlerin güncel olup olmadığını doğrulayın.
• Yeni güvenlik açıkları bulunduğunda hızla yanıt verin.
• Açık kaynak yazılım (OSS) lisans uyumluluğunu doğrulayın.

SBOM, açık kaynaklı yazılım kitaplıklarının ve diğer dış bağımlılıkların karmaşıklığı, uygulama bileşenleri içindeki kötü amaçlı veya güvenlik açığı bulunan kodların tanımlanmasını son derece zorlaştırabileceği için kritik olan kod tabanına yönelik görünürlüğü önemli ölçüde artırır. Log4j, bir SBOM’nin kuruluşların bulup düzeltmesine yardımcı olabileceği açık kaynaklı bir güvenlik açığının mükemmel bir örneğidir.

Uygulama güvenliğinde eksik olan nedir?

Çoğu güvenlik aracı, geliştirme döngüsünün üzerinde bir katman olarak çalışır ve kuruluş ne kadar büyükse, bu araçların kullanımını zorunlu kılmak o kadar zor olur. Çoğu zaman şirketler, uygulamaları konuşlandırılana kadar güvenliği hesaba katmazlar, bu da uygulamada halihazırda işlenmiş olan sorunları raporlamaya odaklanmalarına neden olur.

Birçok satıcı güvenlik açığı kontrollerini metalaştırıyor. yazılım tedarik zinciriön geliştirme aşamasında güvenliği göz ardı ederek, uygulamaları geliştirmek için kullanılan açık kaynaklı paketlerde ve üçüncü taraf kitaplıklarda kötü amaçlı yazılımların hızlı yükselişini adressiz bırakıyor.

Ne yazık ki, geliştirme ve güvenlik arasındaki bu boşluk, kötü niyetli aktörler için mükemmel bir hedef oluşturuyor. İyi finanse edilen, motivasyonu yüksek saldırganlar, DevOps ve DevSecOps arasındaki boşluktan yararlanmak için zamana ve kaynaklara sahiptir. Kendilerini modern SDLC’ye dahil etme ve anlama becerileri, uygulama güvenliği için geniş kapsamlı sonuçlara sahiptir.

2023 (ve sonrası) için AppSec duruşunuzu iyileştirmenin 7 yolu

Kötü niyetli aktörler güvenlik açıklarından yararlanmanın ve bunlardan yararlanmanın yeni yollarını buldukça, kuruluşların ortamlarını sağlamlaştırması ve web uygulama güvenliklerini iyileştirmesi gerekir. Bu yedi en iyi uygulamayı takip etmek, güvenliğin oluşturulmasına yardımcı olabilir. DevOps süreçleri ve 2023’te gelecek tehditlere hazırlanın:

• Bir SBOM kullanın daha iyi uygulama güvenliği sağlamak için kodun görünürlüğünü sağlamak için.
• Açık kaynaklı yazılım için bir onay sürecini resmileştirin, tüm kitaplıklar, kapsayıcılar ve bunların bağımlılıkları dahil. DevSecOps’un bu paketleri risklere karşı değerlendirmek için gereken araçlara ve bilgiye sahip olduğundan emin olun.
• Tüm yazılımların güvenliğinin ihlal edildiğini varsayalım. Tedarik zincirleri için bir onay süreci oluşturun ve tedarik zincirinde güvenliği zorunlu kılın.
• Sürekli entegrasyon (CI) ortamında üretim kimlik bilgilerini asla kullanmayın ve depoların temiz olduğunu kontrol edin.
• GitHub güvenlik ayarlarını etkinleştirhesap ele geçirmelerini önlemek için çok faktörlü yetkilendirme (MFA), gizli sızıntı uyarıları ve kullanıcıları paketleri ne zaman güncellemesi gerektiğini bildiren bağımlılık botları gibi (ancak bu yöntemlerin tek başına yeterli olmadığını unutmayın).
• Geliştirme güvenliğini birleştirme yazılım geliştirme için sola kaydırma protokollerini uygulayarak uygulama geliştirme yaşam döngüsüne dahil edin.
• Dijital ekosistem için kapsamlı uçtan uca koruma sağlayın. SDLC, CI/CD boru hattı ve aktarılan verileri yöneten ve bekleyen verileri depolayan hizmetlerden tedarik zincirinin her parçasına bir güvenlik katmanı uygulayın.

Bu geniş kapsamlı en iyi güvenlik uygulamalarını takip etmek ve bunları bir kuruluş genelinde sürekli olarak gözden geçirmek ve uygulamak, güvenlik ekiplerinin uygulamaları daha güvenli hale getirmesine ve önümüzdeki yıllarda tehditleri başarılı bir şekilde azaltmasına yardımcı olabilir.

George Prichici OPSWAT’ta ürünlerden sorumlu Başkan Yardımcısı olarak hizmet vermektedir.