ABD Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bugün yazılım tedarik zincirini güvence altına almak için ipuçları yayınladı.
Bu rehber, ABD kritik altyapısı ve ulusal güvenlik sistemlerine yönelik tehditleri ele almak için çalışan bir kamu-özel ortaklığı olan Kalıcı Güvenlik Çerçevesi (ESF) tarafından tasarlanmıştır-yazılım geliştiricileri için önerilen uygulamaların bir koleksiyonu olarak hizmet vermektedir.
Savunma Bakanlığı istihbarat ajansı, "Geliştiriciler için yazılım tedarik zincirinin güvence altına alınması, geliştiricilerin endüstri ve devlet tarafından tutulan öneriler yoluyla güvenlik elde etmelerine yardımcı olmak için oluşturuldu." Dedi.
"Geliştiriciler, NSA ve ortaklardan güvenli kod geliştirme, üçüncü taraf bileşenlerini doğrulama, yapı ortamını sertleştirme ve kodu teslim etme konusunda yararlı rehberlik bulacaklar. Tüm DevOps Devsecops olana kadar yazılım geliştirme yaşam döngüsü risk altında olacaktır."
ESF, yazılım tedarik zinciri yaşam döngüsü ile çakışan iki tavsiye daha yayınlayacak ve bu serideki diğer iki bölüm yazılım tedarikçilerine ve müşterilere odaklanacak.
Güvenli kodun nasıl geliştirileceği, üçüncü taraf bileşenlerini doğrulayacağınız, sertleştirme ortamlarını sertleştirme ve bugünün danışmanlığında [PDF] kod verebileceğiniz hakkında ayrıntılı bilgiler bulabilirsiniz.
Rehberlik, Solarwinds Hack gibi son yüksek profilli siber saldırılardan sonra yayınlandı. Yazılım tedarik zincirinde ulus-devlet destekli tehdit gruplarının kolayca yararlanabileceği zayıflıkları vurguladı.
FireEye Aralık 2020'de ağının ihlal edildiğini açıkladıktan sonra birden fazla ABD hükümeti ajansının uzlaşmasına yol açan Solarwinds tedarik zinciri saldırısının kartopu etkisinin ardından Başkan Biden, Mayıs 2021'de ülkenin siber saldırılara karşı savunmalarını modernize etmek için bir yürütme emri imzaladı.
Beyaz Saray, Ocak ayında yeni bir federal strateji yayınladı ve ABD hükümetini "sıfır güven" güvenlik modeli benimsemeye zorladı. Bu, Biden'in yürütme emri ve NSA ve Microsoft tarafından Şubat 2021'de büyük işletmeler ve kritik ağlar (Ulusal Güvenlik Sistemleri, Savunma Bakanlığı, Savunma Sanayi Üssü) için bu yaklaşımı önerdi.
Mayıs ayında, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), işletmelerin kendilerini tedarik zinciri saldırılarından nasıl daha iyi savunabilecekleri konusunda güncellenmiş rehberlik yayınladı.
Ekim 2021'deki bir Microsoft raporu da Rus destekli Nobelium tehdit grubunun Global I.T. Solarwinds'i hackledikten sonra, 140 yönetilen servis sağlayıcısına (MSP) ve bulut servis sağlayıcılarına saldırdıktan ve Mayıs 2021'den bu yana en az 14 ihlal ettikten sonra tedarik.
Microsoft'un bulguları, yazılım tedarik zincirinin tehdit aktörleri için giderek daha popüler bir hedef haline geldiğini gösterdi, çünkü tek bir ürünü tehlikeye atmalarına ve onu kullanan çok sayıda alt şirketi etkilemelerine izin veriyor.
Tedarik zinciri saldırılarının arkasındaki tehlike, Rus tehdit aktörleri, dünya çapında binden fazla şirketin sistemlerini şifrelemek için kullanılan MSP yazılımı da dahil olmak üzere aşağı yönlü müşterilerini enfekte etmek için Solarwind'leri tehlikeye attığından, gerçek dünyadaki senaryolarda da belirgin hale getirildi. Uzak komutları yürütmek için NPM modülleri nasıl kullanıldı.
Siber güvenlik ajansları geçen yılın en iyi kötü amaçlı yazılım suşlarını ortaya koyuyor
ABD Govt, Healthcare Orgs'a karşı Maui fidye yazılımı saldırılarını uyarıyor
San Francisco 49ers: Blackbyte Fidye Yazılımı Çetesi 20 bin kişinin bilgisini çaldı
1.000'den fazla iOS uygulaması, sabit kodlu AWS kimlik bilgilerini ortaya çıkardı
US Govt, Kochava'ya hassas coğrafi konum verilerini sattığı için dava açıyor
Kaynak: Bleeping Computer