Hiçbir veri ve bilgi işleme, yazılımı olmadan çalıştırılamaz. Yazılım geliştirme öncelikle algoritmaların göreve özgü işleyişine odaklanır. Bununla birlikte, program kodunun kötü yazılmasının genellikle hatalı erişim kontrolü, SQL enjeksiyonu, yanlış oturum yönetimi ve kimlik doğrulama, siteler arası komut dosyası oluşturma vb. gibi güvenlik sorunlarına da yol açtığı gerçeği artık iyi bilinmektedir.

Güvenli kodlama uygulamalarının yüksek önemi, güncellenen bilgi güvenliği standartları ISO 27002 ve ISO 27001:2022'de vurgulanmaktadır. Yeni bir bilgi güvenliği önlemi (kontrolü) olarak, yazılım geliştirmede "Güvenli Kodlama" ilkeleri ISO 27001 Ek A'daki önlemler kataloğuna girmektedir. Bu önlemin bilgi güvenliğiniz için önemini ve gelecekteki denetimler için ne anlama geldiğini blog yazımızda okuyabilirsiniz.

Kodlama güvenlik açıkları

Gömülü bir sistemdeki işletim sistemi yazılımı, uygulama yazılımı veya ürün yazılımı, herhangi bir dijital altyapının temel bileşenleridir. Ancak, dijitalleşme projelerinde artan hızlanma ve son teslim tarihi baskısı genellikle zorunlu bilgi güvenliği hususlarının ihmal edilmesine yol açmaktadır. Yazılım geliştirme gereksinimleri genellikle işlev merkezlidir ve yapıcı yönleri vurgular, böylece potansiyel güvenlik açıklarının yıkıcı görünümü çoğunlukla gerçek geliştirme hedefleriyle taban tabana zıttır: Birçok programcı da siber güvenlik konusunda yapılandırılmış ve keskinleştirilmiş bir görüşten yoksundur.

Bu koşullar altında, kar amacı gütmeyen MITRE Corporation'ın her yıl CVE (Common Vulnerabilities and Exposures) listesinde yayınladığı çok sayıda güvenlik açığının da gösterdiği gibi, geliştirme ekipleri yazılımlarının kodlamasını sürekli olarak gözden geçirmekte ve tutarlı bir şekilde güvence altına almakta zorlanmaktadır. Tanınmış yazılım üreticilerinin bile düzenli güvenlik yamaları, güvenlikle ilgili hataları piyasaya sürülmeden önce tespit etmek bir yana, bunları kapatmanın ne kadar zor bir iş olduğunun göstergesidir.

Açık kaynak kodu - özel bir durum

Kendi geliştirdikleri yazılımları kodlarken, programcılar açık kaynak kodlu kütüphanelere ve modüllere başvurmayı severler. Bunun pratik avantajları açıktır: Tekerleği tekrar tekrar icat etmek zorunda kalmazsanız, bu teknoloji artışından, hızlı geliştirmeden, daha düşük geliştirme maliyetlerinden, açık kaynak kodu aracılığıyla daha fazla şeffaflıktan ve açık standartlar ve arayüzler aracılığıyla daha yüksek birlikte çalışabilirlikten faydalanırsınız.

Açık kaynak kodun yüksek derecede güvenlik sunduğu da sıklıkla söylenir çünkü kod birçok kullanıcı tarafından doğrulanmıştır ve açık kaynak topluluğunun sürü zekası hızlı ve etkili hata düzeltmeye olanak tanır.

Pratikte, bu güven artık farklılaştırılmış ve kritik bir şekilde değerlendirilmelidir. Bunun en ciddi örneği, Kasım 2021'de keşfedilen, Java uygulamaları için yaygın olarak kullanılan loglama kütüphanesi Log4J'deki sıfır gün güvenlik açığı Log4Shell'dir. Alman Federal Bilgi Güvenliği Ofisi (BSI) tarafından Log4Shell için yayınlanan kırmızı alarm seviyesini duymuş olabilirsiniz. Apache Vakfı aracılığıyla güvenilir bir şekilde işleyen yarı standart olarak dağıtılan Log4J kütüphanesi, 2013 yılından bu yana Amazon AWS gibi tanınmış web hizmetleri de dahil olmak üzere birçok sistemde kendini kanıtlamıştır.

Bu iyi geliştirilmiş ve aynı zamanda bakımı yapılan kütüphanelerin karmaşıklığı, içe aktaran bir geliştiricinin kendi birleşik yeni geliştirmesinde genellikle farkında olmadığı, ancak saldırganlar tarafından istismar edilebilecek güçlü işlevleri dolaylı olarak sağlar.

Açık kaynak bileşenlerinin bir diğer güvensizlik faktörü de tedarik zinciri saldırıları olarak adlandırılan, yani açık kaynak topluluğunun bir parçası gibi davranan ve kod geliştirmeye yardımcı olan kötü niyetli aktörler tarafından amaçlanan yerleşik güvenlik açıklarıdır. Böyle bir güvenlik açığı, bilgisayar korsanlarının çok sayıda alt kullanıcı kuruluşa saldırması için son derece etkili bir yoldur. O halde bu saldırı vektörünün hızla büyümesine şaşmamak gerekir: Sonatype tarafından yapılan bir çalışmada 2020 ve 2021 yılları karşılaştırıldığında %650'lik bir artış tespit edilmiştir.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Şimdi izleyin: ISO 27001:2022 Revizyon değişiklikleri

ISO 27001'in çağdaş bilgi güvenliği risklerine uyarlanmış yeni versiyonu 25 Ekim 2022'de yayınlandı. Peki bu, standardın kullanıcıları için ne anlama geliyor? Ücretsiz webinar kaydında, aşağıdakiler hakkında bilgi edinebilirsiniz:

  • ISO 27001:2022'nin yeni özellikleri - Çerçeve ve Ek A
  • ISO/IEC 27002:2022-02 - Yapı, içerik, öznitelikler ve hashtag'ler
  • Geçiş için zaman çizelgesi ve sonraki adımlar

Bilgi güvenliği kontrolü 8.28 - Güvenli kodlama

Uluslararası Standardizasyon Örgütü (ISO - komite ISO/IEC JTC 1/SC 27), yazılım geliştirme sürecini zamanında korumak amacıyla, yeni ISO/IEC 27002 ve ISO 27001:2022, Ek A standartlarına yeni bir kontrol 8.28 olarak "Güvenli Kodlama"yı dahil etmiştir. Güvenli kodlama için teknik önlemin amacı, yazılımın önleyici korumasıdır.

Prosedürel düzenlemeler temelinde yazım aşamasının başlarında asgari bir güvenlik seviyesi oluşturulur ve böylece yazılımdaki potansiyel güvenlik açıklarının sayısı en aza indirilir. Güvenli kod üretimine yönelik düzenleyici çerçeve, hem şirketin kendi program koduna hem de üçüncü taraflardan ve açık kaynak kodlu kaynaklardan gelen yazılımlara bütünsel olarak uygulanmalıdır. Uygulama için dikkate değer bir diğer ilke de, kodlamada da dikkate alınması gereken Tasarım Yoluyla Güvenlik'tir.

Güvenli kodlama ilkeleri

Tedbir 8.28, güvenli kodlama ilkeleri olarak adlandırılan ilkelere birkaç kez değinmektedir. Bunların neler olabileceğine dair rehberlik, güvenli kodlama için düzenli olarak kılavuzlar ve en iyi uygulamalar yayınlayan çok sayıda kuruluş ve enstitü tarafından sağlanmaktadır. Bunlar arasında örneğin OWASP Vakfı'nın Güvenli Kodlama Uygulamaları, Yazılım Mühendisliği Enstitüsü'nün (SEI) Bilgisayar Acil Durum Müdahale Ekibi'nin (CERT) Güvenli Kodlama Standartları ve Alman BSI'ın web uygulamalarının güvenliği için önlemler kataloğu yer almaktadır. Farklı kaynaklara rağmen, detaylandırmalar, örneğin aşağıdaki noktalarla ilgili olarak birçok paralellik göstermektedir:

  • Veri girişinin doğrulanması
  • Kimlik doğrulama ve parola yönetiminin güvenliğini sağlama
  • Güvenli erişim kontrolü
  • Basit, şeffaf kod
  • Sürdürülebilir şekilde test edilmiş kriptografik önlemler ve bileşenler
  • Hata işleme ve günlük kaydı
  • Veri koruma
  • Tehdit modellemesi

ISO 27002:2022 standardında, Kontrol 8.28 için önerilen eylemler "Planlama ve ön kodlama", "Kodlama sırasında" ve "Doğrulama ve bakım" olmak üzere üç bölüme ayrılmıştır ve bunların temel içerikleri aşağıda özetlenmiştir.

Cyberattack - Bildschirm zeigt Zahlencodes mit Warnsignalen
Loading...

İlginizi çekebilir:

Bilgi güvenliği yönetiminde tespit ve önleme

Planlama ve ön kodlama

Hem yeni kod geliştirme hem de kodun yeniden kullanımı, kodun dahili yazılım için mi yoksa harici ürün ve hizmetler için mi yazıldığına bakılmaksızın güvenli kodlama ilkelerinin uygulanmasını gerektirir. Bu, kuruma özgü beklentilerin değerlendirilmesini ve kabul görmüş ilkelerin önceden tanımlanmasını gerektirir. Buna ek olarak, planlama ve ön kodlama için önerilen eylemler, bilinen yaygın ve geçmiş kodlama uygulamalarını ve güvenlik açıklarına yol açabilecek hataları dikkate alır.

Entegre geliştirme ortamlarında (IDE) kural tabanlı gibi geliştirme araçlarının yapılandırılması, güvenli kod oluşturulmasını zorunlu kılmalıdır. Geliştiricilerin kalifikasyonu ve güvenli mimarilere ve programlama standartlarına aşina olmaları oldukça kritiktir. Geliştirme ekibine bilgi güvenliği uzmanlığının dahil edilmesini söylemeye bile gerek yoktur.

Kodlama süreci sırasında

Kodlama sürecinde, özel kullanım durumu ve güvenlik ihtiyaçları dikkate alınarak kodlama uygulamaları ve yapılandırılmış programlama teknikleri birincil rol oynar. Güvensiz tasarım teknikleri - örneğin sabit kodlu parolalar - sürekli olarak yasaklanmalıdır. Güvenlikle ilgili hataları en iyi şekilde ortadan kaldırmak için kod yeterince belgelenmeli ve gözden geçirilmelidir. Kod incelemesi hem geliştirme sırasında hem de sonrasında statik uygulama güvenlik testi (SAST) veya benzeri bir yöntemle gerçekleştirilmelidir. Statik test yöntemleri, görünür kodu kurallara uygunluk açısından erkenden test ederek yaşam döngüsünde sola kayma yaklaşımını ("erken ve sık test et") destekler.

Bu, kusurlu kodun, dosyalara veya belirli nesne sınıflarına bağlantıların veya üçüncü taraf programlarla fark edilmeden etkileşim için kötüye kullanılabilecek uygulama düzeyindeki boşlukların istismar edilebilir güvenlik açıkları olarak erken tespit edilmesini sağlar. Yazılım çalıştırılmadan önce, Kontrol 8.28 saldırı yüzeylerinin değerlendirilmesini ve en az ayrıcalık ilkesinin uygulanmasını gerektirir. En yaygın programlama hatalarının analizi ve bunların düzeltilmesine ilişkin dokümantasyon değerlendirilmelidir.

Doğrulama ve bakım

Yazılım yayına girdikten sonra bile güvenli kodlama konusu geçerliliğini korumaktadır. Bu, güvenli güncellemelerin yanı sıra kişinin kodundaki bilinen güvenlik açıklarına yönelik kontrolleri de içerir. Ayrıca, gerekli ayarlamaların derhal yapılabilmesi için hatalar ve şüpheli saldırılar belgelenmelidir. Her durumda, kaynak koda yetkisiz erişim uygun araçlarla güvenilir bir şekilde engellenmelidir.

Açık kaynak kodu

Doğrulama ve bakım alanında, Tedbir 8.28 ayrıca açık kaynaklı yazılımlar gibi harici araçların ve kütüphanelerin kullanımına ilişkin açık talimatlar listeler. Bu kod bileşenleri envanterlerde yönetilmeli, güncellenmeli ve muhafaza edilmelidir. Bu, örneğin bir Yazılım Malzeme Listesi (SBOM) aracılığıyla yapılabilir. SBOM, bir yazılımın paketlerinin ve kütüphanelerinin ve bunların birbirleriyle ve tedarik zinciri içindeki ilişkilerinin, özellikle de yeniden kullanılan kod ve açık kaynak bileşenlerinin kaydını tutmak için resmi, yapılandırılmış bir kaydıdır. SBOM, yazılımın sürdürülebilirliğini ve hedeflenen güvenlik güncellemelerini destekler.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

ISO 27001 Sertifikası

Bilgi güvenliği yönetim sisteminizi ISO 27001'e göre belgelendirmek için ne kadar çaba sarf etmeniz gerekiyor? Şimdi, herhangi bir yükümlülük altına girmeden ve ücretsiz bilgi alın.

Sonuç

Güvenli kod, potansiyel saldırıları durdurmak için temel bir dayanaktır. Yeni Kontrol 8.28 bu uzun süredir devam eden anlayışı dikkate almakta ve güvenli kodlamanın bilgi güvenliği açısından taşıdığı kilit rolü yükseltmektedir. Bununla birlikte, önlem çok sayıda ayrıntılı eylem önerisi içerdiğinden ve teknik açıdan zorlu olduğundan, uygulanması nispeten yüksek düzeyde çaba gerektirecektir - Bu, planlama aşamasının başlarında dikkate alınmalıdır.

Deneyimli denetçilerimizin profesyonel bakış açısıyla, tedbirlerin uyumlu bir şekilde uygulanmasında size destek oluyoruz. ISO 27001:2022 standartlarına uygun olarak bilgi güvenliği konusunda 35 yılı aşkın denetim ve belgelendirme uzmanlığımızla size yardımcı olmaktan memnuniyet duyarız.

ISO 27001 Revizyonu: Mevcut sertifikanız için ne anlama geliyor?

ISO 27001'in yeni ve geliştirilmiş versiyonu 25 Ekim 2022 tarihinde yayınlanmıştır. Ve aşağıda geçiş süreci için önemli tarihler listelenmiştir:

Eski ISO 27001:2013'e göre ilk/yeniden belgelendirme denetimleri için son tarih

  • 30 Nisan 2024'ten itibaren DQS ilk belgelendirme ve yeniden belgelendirme denetimlerini yalnızca yeni ISO 27001:2022'ye istinaden gerçekleştirecek

Mevcut tüm sertifikaların yeni ISO 27001:2022'ye geçişi

  • 31 Ekim 2022'den başlayarak 3 yıl geçiş periyodu kabul edilir
  • ISO/IEC 27001:2013 veya DIN EN ISO/IEC 27001:2017 sertifikaları 31 Ekim 2025'e kadar geçerli olacak ve bu tarihte geri çekilecektir.

DQS: Simply leveraging Quality.

Geçiş dönemleri sayesinde şirketler bilgi güvenliği yönetim sistemlerini yeni gerekliliklere uygun hale getirmek ve belgelendirmek için yeterli zamana sahiptir. Ancak, tüm geçiş sürecinin süresi ve çabası küçümsenmemelidir, özellikle de yeterli uzman personeliniz yoksa. Güvenli tarafta olmak istiyorsanız, konuyu daha sonra değil daha erken ele almalı ve gerekirse deneyimli uzmanları çağırmalısınız.

Denetim ve belgelendirme uzmanları olarak 35 yılı aşkın uzmanlığımızla, bir delta denetiminin parçası olarak mevcut durumunuzu değerlendirmenizde size destek olmaktan mutluluk duyarız. Çok sayıda deneyimli denetçimizden en önemli değişiklikler ve bunların kuruluşunuzla ilgisi hakkında bilgi edinin. Birlikte gelişim potansiyelinizi tartışacak ve yeni sertifikanızı alana kadar ve sonrasında takip denetimleriyle size destek olur, yönetim sisteminizin sürdürülebilirliğini sağlarız. Bilgi güvenliği alanındaki yetkinliğimizden yararlanın!

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Sorularınız mı var?

Bize ulaşın!

Herhangi bir yükümlülük altında kalmadan ve ücretsiz bilgi alın.

Yazar
Markus Jegelka

Bilgi güvenliği yönetim sistemleri (ISMS) için DQS uzmanı ve Alman Enerji Endüstrisi Kanunu'nun (EnWG) 11.1a paragrafına göre ISO 9001, ISO/IEC 27001 standartları ve BT güvenlik kataloğu Baş Denetçisi.

Loading...