Güvenlik endüstrisi, yazılımda yeni güvenlik açıkları keşfedildiğinde toplu olarak aklını kaybeder. OpenSSL bir istisna değildir ve iki yeni güvenlik açığı, 2022 Ekim sonu ve Kasım başında haber akışlarını alt üst etti. Keşif ve ifşa, bu hiç bitmeyen güvenlik açığı döngüsünün yalnızca başlangıcıdır. Etkilenen kuruluşlar, özellikle BT’nin ön saflarında çalışanlar için sancılı olan bir düzeltme ile karşı karşıyadır. Güvenlik liderleri, yeni güvenlik açıkları üzerindeki gürültünün bir kısmını filtrelemeye, tedarik zincirlerine olan etkileri tanımaya ve varlıklarını buna göre güvence altına almaya yardımcı olmak için etkili bir siber güvenlik stratejisi sürdürmelidir.
Yaklaşık bir yıl içinde, bileşenlerde ciddi güvenlik açıkları yaşadık. Log4j, Bahar Çerçevesive AçıkSSL. Eski güvenlik açıklarından yararlanma, yanlış yapılandırılmış veya bilinen güvenlik açığı bağımlılıklarını kullanan uygulamalardan da asla vazgeçmez. Kasım 2022’de halk bir Federal Sivil Yürütme Şubesine karşı saldırı kampanyası (FCEB), devlet destekli bir İran tehdidine atfedilebilir. Bu ABD federal kuruluşu, ilk saldırı vektörü görevi gören Log4Shell güvenlik açığını içeren VMware Horizon altyapısını çalıştırıyordu. FCEB, yanal hareket, kimlik bilgilerinin tehlikeye atılması, sistemin tehlikeye atılması, ağ sürekliliği, uç nokta koruma bypass’ı ve cryptojacking’i içeren karmaşık bir saldırı zinciriyle vuruldu.
Kuruluşlar “neden OSS tüketiyor?” OpenSSL veya Log4j gibi savunmasız paketlerden kaynaklanan güvenlik olaylarından sonra. Tedarik zinciri saldırıları, bileşenlerin yeniden kullanılması iş ortakları ve tedarikçiler için “iş açısından mantıklı” olduğundan, yükseliş eğilimini sürdürüyor. Sıfırdan oluşturmak yerine mevcut kodu yeniden tasarlayarak sistemler tasarlıyoruz. Bu, mühendislik çabasını azaltmak, operasyonel olarak ölçeklendirmek ve hızlı bir şekilde teslim etmek içindir. Açık kaynaklı yazılım (OSS), aldığı kamu denetimi sayesinde genellikle güvenilir kabul edilir. Bununla birlikte, yazılım sürekli değişiyor ve kodlama hataları veya bağlantılı bağımlılıklar nedeniyle sorunlar ortaya çıkıyor. Test ve kullanım tekniklerinin evrimi yoluyla yeni sorunlar da ortaya çıkarılır.
Kuruluşlar, modern tasarımları güvence altına almak için uygun araçlara ve süreçlere ihtiyaç duyar. Güvenlik açığı yönetimi veya belirli bir zamanda yapılan değerlendirmeler gibi geleneksel yaklaşımlar tek başına ayak uyduramaz. Yönetmelikler, “güvenli” ve “uyumlu” arasındaki ayrımı sürdüren bu yaklaşımlara hâlâ izin verebilir. Çoğu kuruluş, bir düzeyde DevOps olgunluğu elde etmeyi arzu eder. “Sürekli” ve “otomatik”, DevOps uygulamalarının ortak özellikleridir. Güvenlik süreçleri farklı olmamalıdır. Güvenlik liderleri, güvenlik stratejilerinin bir parçası olarak derleme, teslim ve çalışma zamanı aşamaları boyunca odaklanmayı korumalıdır:
biz yarattık ürüne özel rehberlik müşterileri son OpenSSL çılgınlığında yönlendirmek için.
En son OpenSSL güvenlik açığı ve Log4Shell, bize siber güvenlik hazırlığı ve etkili güvenlik stratejisi ihtiyacını hatırlatıyor. CVE-ID’lerin yalnızca genel yazılım veya donanımdaki bilinen sorunlar olduğunu hatırlamalıyız. Pek çok güvenlik açığı, özellikle de yerel koddaki zayıflıklar veya çevresel yanlış yapılandırmalar bildirilmez. Siber güvenlik stratejiniz, modern tasarımların dağıtılmış ve çeşitli teknolojilerini hesaba katmalıdır. Mühendislik ekipleri için iyileştirme çalışmalarına öncelik vermek üzere çalışma zamanı içgörülerini kullanan modernleştirilmiş bir güvenlik açığı yönetimi programına ihtiyacınız var. Sürprizlerden kaçınmak için ortamlar arasında sinyalleri ilişkilendiren tehdit algılama ve yanıt verme yeteneklerine de ihtiyacınız var.
yazar hakkında
Sysdig’de Siber Güvenlik Stratejisi Direktörü Michael Isbitski, beş yılı aşkın bir süredir siber güvenlik konusunda araştırma yapıyor ve tavsiyelerde bulunuyor. Bulut güvenliği, kapsayıcı güvenliği, Kubernetes güvenliği, API güvenliği, güvenlik testi, mobil güvenlik, uygulama koruması ve güvenli sürekli teslimat konularında uzmandır. Dünya çapında sayısız kuruluşa güvenlik girişimlerinde rehberlik etti ve işlerini destekledi.
Araştırma ve danışmanlık deneyiminden önce Mike, uygulama güvenliği, güvenlik açığı yönetimi, kurumsal mimari ve sistem mühendisliğine odaklanan 20 yılı aşkın uygulamacı ve liderlik deneyimiyle BT’nin ön saflarında birçok zor ders aldı.
siber-1