CEO Slava Bronfman bir cihazın tüm yaşam döngüsü boyunca ürün güvenliğinin sağlanmasına, iş birimleri ve ürün grupları arasında işbirliğinin geliştirilmesine, tedarik zincirinde şeffaflığın ve güvenliğin sağlanmasına ve uyumluluğu sağlarken yasal gerekliliklerin karşılanmasına yönelik yaklaşımları tartışmaktadır.
Şirketler, sürekli gelişen teknolojik ortamda ürünlerinin güvenliğini sağlamak için hangi yenilikçi yaklaşımları benimseyebilir ve potansiyel tehditlerin önünde kalmak için bu önlemler sürekli olarak nasıl geliştirilebilir?
Sürekli gelişen bir ortamda yüksek düzeyde ürün güvenliği sağlamanın anahtarı, hem sola hem de sağa kaydırmaktır. Bu yaklaşım, ürün güvenliği uygulamalarının yalnızca ara sıra değil, cihazın tüm yaşam döngüsü boyunca sürekli olmasını sağlar.
Sola kaydırmak yeni bir kavram değil. Geliştiriciler, yöneticiler ve ilgili tüm paydaşlar, güvenlik açıklarını ele almalı ve ürünlerine neler olacağını erken bir aşamadan itibaren değerlendirmelidir.
Bu görüş, CISA’nın, bir SBOM’un tasarım aşamasından itibaren geliştirilmesini gerektiren ve güvenlik açıklarının bir cihaza girmeden önce tespit edilebilmesini gerektiren yeni SBOM Yönergelerinde de yansıtılmaktadır. Ayrıca bu bilgi, ekiplerin Tehdit Değerlendirmesi ve İyileştirme Analizini (TARA) daha erken gerçekleştirmesine olanak tanıyarak riski en aza indirir.
Şimdi sağa kaydırmak biraz farklı
Sağa geçiş, ekiplerin gelecekte ne tür güvenlik açıkları barındırdığını bilmediğimizi kabul etmesini gerektirir. Bu nedenle sağa kaymak, daha sonra ele alınacak konuları bulmak anlamına gelmiyor.
Aksine, dağıtım sonrasında bir talep ortaya çıktığında ekiplerin yazılımlarını uzaktan güncellemeler için hazır tutabilmesi için güvenlik önlemlerini şimdi almakla ilgilidir. Bu rutin kontroller, ekiplerin yeni güvenlik açıklarına hızlı bir şekilde tepki verebileceği ve ihlallere dönüşmeden önce harekete geçebileceği anlamına gelir.
Günümüzün bağlantılı ürünlerinin çoğu, siber güvenlik açıklarını gidermek veya yazılım tanımlı işlevler eklemek için kablosuz olarak veya bir tür orta yaş yazılım güncellemesi alıyor.
Ürün güvenliği odaklı bir platformla ekipler, cihaza fiziksel erişime ihtiyaç duymadan sürekli olarak güvenlik açığı taramaları gerçekleştirebilir, bu da uygulayıcıların cihazlarını sürekli olarak geliştirmelerine ve müşterilerini güvende tutmalarına olanak tanır.
Kuruluşlar, tedarik zincirleri boyunca daha fazla şeffaflık ve güvenlik sağlamak amacıyla birden fazla SBOM’un birleştirilmesi, verilerin doğrulanması ve tüm iş birimleri ve ürün grupları arasında işbirliği yapılması da dahil olmak üzere uçtan uca SBOM sürecini verimli bir şekilde düzenlemek için hangi stratejileri ve araçları uygulayabilir?
Yönetilecek en iyi strateji SBOM’lar oluşturma, doğrulama, güncelleme ve işbirliği dahil olmak üzere bu görevler için gereken araçları birleştirmek amaçlanmaktadır.
İster Yazılım Malzeme Listelerini SBOM’a özgü bir yazılımla yönetin, ister bunları bir e-tabloda tutun (eğer öyleyse, sohbet etmeliyiz), SBOM’lar hızla karmaşık hale gelir. Bir SBOM’un, bir cihaza giren düzinelerce veya daha fazla yazılım bileşeninin bir listesi olduğunu düşünün. Daha sonra cihaz, onlarca başka bileşenin bulunduğu daha büyük bir sistemin içine yerleştirilecek. Yönetilmesi gereken SBOM’ların sayısı, tek bir bağımsız cihaz için hızla yüzlerce sayıya ulaşıyor. Puanları veya yüzlerce cihazı ve geliştirme süreci boyunca sık sık uğradıkları değişiklikleri göz önünde bulundurduğunuzda zorluk katlanarak büyüyor. Akıllara durgunluk veren bir endişe.
Bütünsel bir ürün güvenliği platformunun geliştirme süreci boyunca entegre edilmesi, bir cihazın tüm yaşam döngüsü boyunca güvenlik yönetiminin tek bir merkezi konumdan yapılmasına olanak tanıyacaktır.
Artık SBOM oluşturma, yazılım bileşeni listesinin ötesine bakan çok adımlı otomatik iş akışındaki yalnızca ilk eylemdir. Bu iş akışlarında taraflara değişiklikler bildirilir, SBOM’lar onaylanır ve doğrulanır ve tehdit izleme işlemlerinin tümü merkezi bir konumda gerçekleştirilir. Bu noktada, ilgili oyuncular en son SBOM, VEX, tehdit analizi ve hatta uyumluluk raporlarına, tamamı Ürün Güvenliği Baş Sorumlusu’nun (CPSO) merkezi gözetimi altında erişebilir.
Kuruluşlar, operasyonlarının tüm seviyelerinde uyumluluğu sağlarken ve maliyetli cezalar ve itibar kaybı riskini en aza indirirken, mevzuat gerekliliklerini etkili bir şekilde karşılamak için önceden oluşturulmuş standart haritalamasından nasıl yararlanabilir?
Hayata veya uzuvlara verilen zarardan sonra ikinci olarak itibar kaybı, CPSO’ları geceleri uyanık tutan şeydir.
Bu zorluğun üstesinden gelmek için Cybellum’da benimsediğimiz yaklaşım, düzenlemeleri, standartları ve iç politikaları ürün güvenliği iş akışımızın parçaları olarak yerleştirmektir. Her görev manuel olarak gerçekleştirilebilse de, şirketlerin bir SBOM oluşturarak, yazılım bileşenlerini güvenlik açıklarına karşı analiz ederek, VEX raporları oluşturarak ve sonuçta yazılımın tüm yönlerini güvence altına almak için düzenleyicilere hazır belgeler oluşturarak ürünlerini analiz etmelerine olanak tanıyan otomatik bir süreç kurduk.
Ekipler aynı süreci kendi iç standartlarını belirlemek ve endüstri düzenlemeleri gibi bu standartların karşılandığından emin olmak için kullanabilirler. Bu, ekiplerin cihazlarını denetlemek için bir olayı beklemelerine gerek kalmadığından hasar riskini en aza indirir. Bunun yerine, CPSO’ların bulguları gözden geçirmesine ve yeni keşfedilen güvenlik açıklarını daha büyük riskler haline gelmeden önce hafifletmesine olanak tanıyacak şekilde düzenli olarak yürütülecek şekilde ayarlanabilir.
Cybellum platformu, kullanıcılarının benzersiz sıkıntı noktalarını ve ihtiyaçlarını nasıl karşılıyor ve onu pazardaki diğer çözümlerden ayıran hangi özellik ve yetenekleri sunuyor?
Ürün güvenliği iş akışındaki ana faaliyetleri kapsar ve güvenlik, ürün güvencesi, geliştiriciler ve GRC ekipleri arasındaki işbirliğini destekler. Bu yaklaşım, tam bir cihazın içeriğini anlayamayan genel siber güvenlik araçlarının aksine, ekiplerin riskleri siber-fiziksel cihazları bağlamında analiz etmelerine olanak tanır.
Ürün güvenliğinin siber güvenlik dünyasında hala nispeten yeni bir disiplin olduğunun bilincindeyiz. Platformumuz olgunlaşmış olsa da kullanıcılarımız ürün güvenliği yolculuklarında çeşitli aşamalardadır.
Bunu aklımızda tutarak, daha önce de belirtildiği gibi yalnızca mükemmel işlevsellik ve bütünsel güvenlik yetenekleri sunmakla kalmıyoruz, aynı zamanda genel bakış kontrol panelleri aracılığıyla yönetim yönüne de odaklanıyoruz.
Buradan CPSO’lar şunlara erişebilir:
- Onlara iş birimi, ekip ve daha fazlasına göre ayrılmış SBOM ve güvenlik ilerlemesine ilişkin bilgiler veren kurumsal genel bakışımız.
- Bir ürünün, kamuya açık olarak bilinen güvenlik açıklarına, sıfır günlere ve hatta hızla ilgilenilmesi gereken ihlal edilen politikalara karşı güvenlik duruşunu tanımlayan bir riske genel bakış.
- Ayrıca kuruluşların iç kalite gerekliliklerinin yanında yer aldığına dair fikir vermek için belirli ürünler üzerinde kontroller yürüten bir uyumluluk merkezi de bulunmaktadır.
Artık tüm bu bilgiler tek bir platformda oluşturulduğundan ve mevcut olduğundan, Ürün Güvenliği Olay Müdahale Ekiplerinin (PSIRT’ler) yeni güvenlik açıklarını izlemek, hangi ürünlerin etkilendiğini anlamak ve araştırmalar yürütmek için ihtiyaç duydukları tüm bilgilere birkaç tıklamayla sahip olabilirler. Bu faaliyetler, bir güvenlik açığının keşfedilmesinin hemen ardından en kritik anlarda onlara zaman kazandırır.