ABD Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bugün yazılım tedarik zincirinin güvenliğini sağlamaya yönelik ipuçları yayınladı.
Bu kılavuz, ABD’nin kritik altyapısına ve ulusal güvenlik sistemlerine yönelik tehditleri ele almak için çalışan bir kamu-özel ortaklığı olan Kalıcı Güvenlik Çerçevesi (ESF) tarafından, yazılım geliştiriciler için önerilen uygulamaların bir koleksiyonu olarak hizmet etmek üzere tasarlanmıştır.
Savunma Bakanlığı’nın istihbarat teşkilatı, “Geliştiriciler için Yazılım Tedarik Zincirinin Güvenliğini sağlamak, geliştiricilerin endüstri ve hükümet tarafından değerlendirilen öneriler aracılığıyla güvenliği sağlamasına yardımcı olmak için oluşturuldu.” söz konusu.
“Geliştiriciler, güvenli kod geliştirme, üçüncü taraf bileşenlerini doğrulama, yapı ortamını sağlamlaştırma ve kodu teslim etme konusunda NSA ve iş ortaklarından yararlı rehberlik bulacaklar. Tüm DevOps’lar DevSecOps olana kadar, yazılım geliştirme yaşam döngüsü risk altında olacaktır.”
ESF, yazılım tedarik zinciri yaşam döngüsüne denk gelen iki tavsiye belgesi daha yayınlayacak ve bu dizinin diğer iki bölümü yazılım tedarikçileri ve müşterilere odaklanacak.
Güvenli kodun nasıl geliştirileceğine, üçüncü taraf bileşenlerinin doğrulanacağına, yapı ortamlarının nasıl güçlendirileceğine ve kodun güvenli bir şekilde teslim edilmesine ilişkin ayrıntılı bilgileri bugünün danışma belgesinde bulabilirsiniz. [PDF].
Kılavuz, son zamanlardaki yüksek profilli siber saldırılardan sonra yayınlandı. SolarWinds hilesi ulus devlet destekli tehdit gruplarının kolaylıkla yararlanabileceği yazılım tedarik zincirindeki zayıflıkları vurguladılar.
SolarWinds tedarik zinciri saldırısının kartopu etkisinin ardından, birden fazla ABD devlet kurumu FireEye’den sonra meydana çıkarmak Aralık 2020’de ağı ihlal edildi, Başkan Biden icra emri imzaladı Ülkenin siber saldırılara karşı savunmasını modernize etmek için Mayıs 2021’de.
Beyaz Saray piyasaya sürülmüş Ocak ayında ABD hükümetini “sıfır güven” güvenlik modelini benimsemeye zorlayan yeni bir Federal strateji. Bu, Biden’ın yürütme emri ve NSA ve Microsoft bu yaklaşımı öneriyor büyük işletmeler ve kritik ağlar (Ulusal Güvenlik Sistemleri, Savunma Bakanlığı, Savunma Sanayi Üssü) için Şubat 2021’de.
Mayıs ayında ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) de güncellenmiş kılavuz yayınlandı işletmelerin kendilerini tedarik zinciri saldırılarına karşı nasıl daha iyi koruyabilecekleri konusunda.
Ekim 2021 tarihli bir Microsoft raporu, Rus destekli Nobelium tehdit grubunun küresel BT tedarikini hedeflemeye devam etti SolarWinds’i hackledikten sonra, 140 yönetilen hizmet sağlayıcısına (MSP) ve bulut hizmeti sağlayıcısına saldırdı ve Mayıs 2021’den bu yana en az 14 ihlal yaptı.
Microsoft’un bulguları, yazılım tedarik zincirinin, tek bir üründen ödün vermelerine ve onu kullanan çok sayıda alt şirketi etkilemelerine izin verdiği için tehdit aktörleri için giderek daha popüler bir hedef haline geldiğini gösterdi.
Tedarik zinciri saldırılarının ardındaki tehlike, o zamandan beri gerçek dünya senaryolarında da defalarca ortaya çıktı. Rus tehdit aktörleri SolarWinds’i tehlikeye attı Kaseya’nın MSP yazılımı da dahil olmak üzere alt müşterilerine bulaştırmak için dünya çapında binden fazla şirketin sistemlerini şifrelemek için kullanılır ve nasıl uzak komutları yürütmek için npm modülleri kullanıldı.