Yazılım güvenliğinin yeni yılda da bulut ve Nesnelerin İnterneti’ne (IoT) ayak uydurmak için mücadele etmeye devam edeceği tahmin ediliyor. BT güvenlik uzmanları, pandemiden dolayı 2020 yılını işlerini evden yöneterek geçirdi. 2021’de bulut teknolojisinin kurumsal iş akışlarını yeniden düzenlemeye odaklanacağı tahmin ediliyor. Yeni normal düzende, yazılım güvenliğinin arttırılması kritik öneme sahip olacaktır.
2021 Yazılım Güvenliği Tahminleri raporunu yayınlayan Checkmarx araştırmacıları yazılım geliştirme ekipleri için; daha iyi uygulama güvenliği araçlarına odaklanma, şirket içi güvenlik araçlarını buluta ölçeklendirme ve nesnelerin interneti (IoT) cihazlarını daha iyi koruma gibi yeni dönem öngörüyor.
Buluta uyum sağlamak
Rapora göre, bulut uygulamalarının geliştirilmesi daha önemli hale gelecek. Uygulamayı geliştirme ortamındaki haliyle, bulut üzerinde kullanıma açıp sonrasında güvenlik açıkları için düzeltmeler yapamazsınız. Çünkü bu kötü niyetli kişilerin sistemlerinize sızması için fırsat sunar. Ayrıca, 2021’de, cihaz zincirine entegre olan uygulama güvenliği için kullanılan araçlar çok daha hızlı çalışmalı (kimlik doğrulama servisleri gibi…), bulut ortamlarına göre ölçeklenmeli ve geliştiricilerin anlayabileceği ve hızlı düzeltmeler yapabilecekleri bir biçimde düzenlenmelidir. Bulut uygulamaları ve ortamları, kullanım yoğunluğuyla birlikte dijital saldırıların da radarına girmiş bulunuyor. Örneğin bu hafta Ulusal Güvenlik Ajansı, hackerler gibi tehdit aktörlerinin bulut ve şirket içi ağ erişimindeki güvenlik açıklarından yararlanmak için teknikler geliştirdiklerine dair bir uyarı yayınladı.
Raporda: ”Kötü niyetli siber aktörler, korumalı verilere erişmek için federe kimlik doğrulama ortamlarındaki güveni kötüye kullanıyor,” ve . “Suistimal, oyuncular bir kurbanın şirket içi ağına ilk erişimini elde ettikten sonra meydana geliyor. Aktörler, kuruluşun bulut ve şirket içi kaynaklara erişim sağlamak için kullandığı mekanizmaları yıkmak ve bulut kaynaklarını yönetme becerisiyle yönetici kimlik bilgilerinden, kısaca şirket içi ortamda ayrıcalıklı erişimden yararlanıyor. ” deniyor.
Açık kaynak koddan kaynaklı güvenlik açıkları
Bu yıl da, açık kaynaklı kod açıkları saldırıları çekmeye devam edecek. Checkmarxın CTO su Matty Siman, “Kötü amaçlı açık kaynaklı paketler bulunmadan bir hafta nadiren geçiyor. Evet, kuruluşlar kullandıkları açık kaynak bileşenlerini güvence altına almaları gerektiğini anlıyor ve mevcut çözümler, yanlışlıkla savunmasız olan (geliştiricinin pakete yanlışlıkla bir güvenlik açığı koyması durumunda) paketlerin kaldırılmasına yardımcı oluyor. Ancak, düşmanların kötü niyetli bir şekilde bozuk kodu paketlere ittiği durumlara karşı hâlâ savunmasızlar. Bunun 2021’de değişmesi gerekiyor. ” değerlendirmesinde bulundu. Benim de fikrim, yeni olanlardan ziyade deneyimlenmiş, iyi bilinen açık kaynaklı bileşenlere bağlı kalmak daha güvenli olacaktır.
Kod altyapısı
Geliştiricilerin yeni kod altyapı ortamlarını kullanarak hızlıca uygulamalar geliştirmeleri güvenlikte büyük boşluklar bırakabiliyor. İleriye dönük olarak, daha geniş ve uygun standartlarda geliştirme yapılacaktır.Bu esnek ortamlarda kötü niyetli saldırganların geliştiricilerin yanlış adımlarından yararlandığını görmekteyiz. Bununla mücadele etmek için, bulut güvenliği eğitimi ve daha karmaşık yazılım ekosistemlerinin talebini desteklemek için yazılım ve uygulama güvenliğine ayrılan ek harcamalar etrafında büyük bir yoğunlaşma olması bekleniyor.
Güvenlik, geliştirmeye rapor edecek
Yazılım geliştirme süreci boyunca güvenlik ekiplerinin işbirliğini artırmak için, geliştirme ekipleri ile iletişimde kalarak kendilerini yönlendirmelerine fırsat vermeliler. Matty Siman, “Geliştiriciler giderek daha etkili hale geliyorlar ve onları inanmadıkları bir şeyi yapmaya veya araç olarak kullanmaya zorlayamazsınız” diyor. “Güvenlik ve geliştirme arasındaki işbirliğini teşvik etmek için, 2021’de güvenliğin geliştirme araç zincirine, ikincisinin en rahat edeceği şekilde entegre olması gerekecek.”
Güvenliğe bütünsel bir bakış
Ekiplerin giderek artan bir şekilde, tüm organizasyondaki güvenlik duruşlarının kapsamlı bir görünümüne ihtiyaç duyacaklarını ve bu tam ekosistem görünümünü sağlayan araçlara ihtiyaç duyacaklarını söyleyebiliriz. Özellikle açık kaynağın güvenliği söz konusu olduğunda, daha kapsamlı görünümler kuruluşların yalnızca savunmasız bir paketi tüketip tüketmediklerini bilmelerine değil, aynı zamanda ve daha da önemlisi, uygulamanın tüketme şeklinin bir saldırı yapıp yapmadığını bilmelerine olanak tanıyacaktır.
Bulutta yerel güvenlik
Bulutta yerel güvenlik şu anda yeterince kullanılmıyor ve güvenlik topluluğu içinde tam olarak anlaşılmıyor, ancak raporun ortak yazarı ve Checkmarx güvenlik araştırmaları direktörü Erez Yalon’a göre, 2021 bulut ortamlarının kilitlenmesine öncelik verilmesine yönelik itici güç görecek.
Yalon, raporda, 2021’in bulut tabanlı güvenliğin ön plana çıktığı bir yıl olacağının altını çizerek, “API’ler bulutta yerel güvenlikte önemli bir rol oynuyor ancak odak noktası, bulut tabanlı teknolojilerin nasıl çoğalmaya devam ettiği ve kuruluşlar arasında benimsenme oranının nasıl artacağı üzerine dönecektir. Birbirine bağlı bulut tabanlı çözümlerden oluşan ekosistemlerin güvenliğini sağlamak bir öncelik haline gelecektir. ” değerlendirmesinde bulundu.
Savunmasız API’ler
Güvenli olmayan API’ler’in saldırganların sistemleri ihlal etmeleri için en kolay yer olacağını belirten Yalon, “Kötü niyetli aktörler API hedefli saldırılarını artırmaya devam ettikçe ve kuruluşlar bu programlardan nasıl yararlanılabileceğini anlamaya çalıştıkça, rakipler kısa vadede bu boşluktan yararlanarak geliştiricileri daha iyi yollar bulmaya zorlayacak.” dedi. Bu değerlendirmeden, güvenli API kimlik doğrulama ve yetkilendirme süreçlerinin gittikçe daha önemli hale geleceğini öngörebiliriz.
Eski cihazlar savunmasız
Yalon, arka planda sessizce çalışırken unutulan eski IoT cihazlarının 2021’de tehdit aktörleri için, öncelikli hedefler olmaya devam edeceğini söylüyor. Biz bu durumu açıklamaya çalışalım. Bu cihazlar eski oldukları halde halen kullanımdalar. Birçok üretici yeni modellere öncelik tanıdığı için, eski cihazları yazılım güncellemeleri ve yamalar ile desteklemeyi bıraktı. Bu durum eski modelleri kolay erişim noktaları arayan kötü niyetli aktörler için birincil hedef haline getirdi diyebiliriz. Haliyle zaman geçtikçe, artık güncelliğini yitirmiş bu ürünlerdeki güvenlik açıkları keşfedilecek ve kötüye kullanılacaktır.
IoT güvenliğinde yavaş ilerleme
Yalon’a göre, geçtiğimiz ay ABD’de geçen IoT Siber Güvenliği İyileştirme Yasası’nın geçişi doğru yönde bir adımdı ancak daha yapılacak çok iş var. Tüketicilerin yoğun baskısı olmadan gerçek bir ilerleme kaydedilemeyeceğini belirten Yalon, “Tüketiciler, IoT cihazları için gelişmiş güvenlik için hükümetlere ve üreticilere gerçek baskı uygulayana kadar veya üreticiler IoT güvenliğine büyük önem verene kadar, bu sürekli bir endişe nedeni olacaktır.” dedi.
Saruhan Sandokan Köle, Snappy Interactive Butik Yazılım Evi Kurucusu