Uygulama Risklerini Kontrol Altına Almanın En Akıllı Yolu: IBM Concert
Merhabalar,
Daha önce IBM Concert ile ilgili genel düşüncelerimi paylaştığım bir yazıyı paylaşmıştım. Bu yazıda ise biraz daha teknik olarak ürün özelliklerine değineceğim.
IBM Concert’i denemek isterseniz, 30 Günlük deneme sürümünü deneyebilirsiniz. Start your free 30-day trial
Bir uygulama geliştirici olarak IBM Concert’e giriş yaptınızı düşünelim. Son zamanlarda her yer de duyduğunuz yeni bir CVE hakkında endişelinisiz, ancak uygulamalarınızın etkilenip etkilenmediğinden emin değilsini. Birbirinden farklı ortamlarda çalışan bir çok yazılımdan gelen çok fazla veriye sahipsiniz, ancak bu CVE’nin iş uygulamalarınızı etkileyip etkilemediğini hızlı bir şekilde öğrenmenin bir yolu yok, çünkü uygulama ortamınınız oldukça karmaşık. İş uygulamalarınız üzerinde çalışan geliştiriciler açık kaynak kodu kullanıyor ve uygulama geliştirmek için alt danışmanlık ekiplerinizinde farklı güvenlik araçları kullanıyorlar.
IBM Concert ile uygulamanızın tüm yaşam döngüsü içerisindeki güvenlik risklerinizi yönetebilirsiniz. Hadi başlayalım!
IBM Concert’e login olduktan sonra, Home ekranında, bir uygulamanın tüm farklı parçalarını görebilirsiniz. Bu bileşenler; Vulnerability, Software composition, compliance ve Operasyonlardan oluşmaktadır.
Sağ tarafta olan panoya baktığımızda; Total unique CVEs görebilirsiniz. Aynı zamanda uygulama riskine göre önceliklendirme detaylarını görebilirsiniz. aynı CVE’nin birden fazla yerde tekrarlanması durumunda aynı düzeltmeyi birden fazla uygulayabilir. Bu da tekrarlanan CVE’leri verimli bir şekilde düzeltmenin bir yoludur.
Aşağıdaki ekran görüntüsü CVE’lerin CVSS puanlarını göre sıralanmış bir listesini görebilirsiniz. CVSS puanları bir risk ölçümü değil, sadece bir CVE’nin potansiyel şiddetinin bir ölçümüdür. CVSS puanı bir temal teşkil eder, anca bu güvenlik açığının uygulama riski hakkında bilgi vermez.
Tam bu noktada IBM Concert risk puanını geliştirdi. CVSS puanını alır ve üzerine birkaç analiz katmanı ekler. Özellikle o CVE’nin sektörde istismar ediliğ edilmediğini ve modern iş uygulamalarında yaygın olarak görünüp görünmediğini değerlendirir. Ardından, Concert bir müşterinin uygulamasına özgü bakıç açısını dikkare alarak gu güvenlik açığının uygulamaları üzerindeki etkisini bağlantılar ve uygulama bağımlılıklarına dayanak inceler.
Most vulnerable applications: Concert, yüksek öncelikli CVE sayısına göre en savunmasız uygulamalarınızı gösterir.
Prioritized CVEs impacting public access points: Public erişim noktalarını etkileyen en kritik CVE’leri gösterir.
Highest priority CVEs: Concert’in Risk puanına göre en yüksek öncelikli CVE’lerin listesi yer alır.
Arena view..
Arena özelliği ile, tüm uygulama bağlantılarınızı ve bağımlılıklarını görebilirsiniz. Aynı zamanda global uygulama topolojiniz bağlamında güvenlik açığı ve uyumlulukla ilgili içgörüleri sunar. Arena görünümde, farklı CVE’ler ve bunların uygulamalarınıza, ortamlarınıza ve daha derinlerdeki farklı erişim noktalarına nasıl bağlandığı gibi bir çok farklı öğe bulunmaktadır.
Eğer bir CVE’nin üzerine gelirseniz, güvenlik açığının uygulama ortamınızın geri kalanında yarattığı dalga etkilerini görebilirsiniz.
Context..
IBM Concert, seçtiğiniz CVE ile ilgili ek ayrıntıları göstermektedir. Bu ayrıntılardan ilki “impact view” özelliğidir. Bununla birlikte ilgili CVE’nin uygulamanızın farklı bileşenlerine olan tüm bağımlılıklarını gösterir. Ayrıca bu CVE’den etkilenen her bir uygulama bölümü, farklı bir Risk puanına sahip olabilir. Risk puanı, bir bileşenin uygulamanız için ne kadar kritik olduğuna, bu CVE’ye ne kadar maruz kaldığına ve diğer çeşitli faktörlere dayanarak belirlenir. Son olarak “Recommended mitigation” kısmında ilgili CVE’nin çözümüne ait bilgileri sunar.
Geniş ve karmaşık bir uygulama ortamıyla karşı karşıya olduğunuzda, bir uygulama sahibi olarak, tespit edilen çok sayıda CVE’yi önceliklendirme konusunda sorun yaşayabilirsiniz. Uygulama ortamınız genelinde en kritik güvenlik açıklarını hızlı bir şekilde belirlemeniz gerekiyor ve hangi CVE’lere öncelik vereceğinizi anlamak için zaman kaybetmek istemezsiniz.
Concert, bir CVE bağlamında uygulamalarınıza bağlı bağımlılıkları anlar; uygulama kod blogunda kullanılan paketlerin ne kadar savunmasız olduğu, genel veya özel uç noktaların olup olmadığını, CVSS puanı vb bilgileri değerlendirir ve bu anlayışı Concert Risk skoru olarak sunar. Bu risk skorunu kullanarak, işletmenizin ilk olarak çözmesi gereken en kritik CVE’lerin bir listesini oluşturur.
watsonx..
IBM Concert, risk azaltma ve çözüm önerileri hakkında daha fazla bilgi almak için doğal dilde iletişim kurabileceğiniz watsonx destekli bir sohbet botu sağlar. Uygulama sahibi olarak artı CVE’ yi çözmek için bir eylem planını var. Eğer Concert’in önerdiği risk azaltma planını beğenmezseniz, Ask Watsonx ile sohbet botu ile iletişme geçerek farklı bir alternatif yol bulabilirsiniz.
watsonx, IBM Granite LLM modeli üzerindeki bilgilere dayanarak bir kaç saniye içinde yanıt verecektir. Örneğin “What should I do about this CVE?” şeklinde bir promt girdiğimde bana verdiği cevabı görebilirsiniz.
Ticketing..
CVE’nin çözümü için hangi adımları atacağına karar verdikten sonra, bir ticket açabilirsiniz. Concert, Ticket oluşturma adımında tüm bilgileri ve onu çözmek için atmanız gereken tüm adımları otomatik olarak dolduracaktır.
Şu anda, Concert tarafından desteklenen ticketing sistemleri Github, Jira, ServiceNow ve Salesforce^dur. Gelecekte bu listeye ek platformlar eklenmesi planlanmaktadır.
Type: hangi ticketing teknolojisini kullandığınızı seçin.
Connection: Mevcut bir bağlantıyı eğer bağlantı yoksa yeni bir bağlantı oluşturabilirsiniz. Github’ı seçerseniz, Organization ve Repository alanlarına Github organizasyon adınızı ve repo adını girin.
Ticket details: Concert, ticket detaylarını otomatik olarak dolduru. Ancak kullanıcılar isterse, Title ve Body alanlarına ek bilgi girmek için düzenleyebilir.
Assignees: Açtığınız ticket’ı atamak istediğiniz kişinin email adresini girmeniz gerekiyor.
Deprioritized CVEs..
Uygulama geliştiriciler olarak, her CVE’yi düzeltmek zorunda olup olmadığını bilmek zaman ve iş değeri açısından çok önemlidir. Güvenlik ekiplerinin zaman ve kaynaklarını verimli bir şekilde kullanarak düşük ve etkili zafiyetler yerine yeniliklere odaklanılmasını daha değerlidir. “Deprioritized CVEs” kısmında Concert’in hangi CVE’leri önceliklendirmediğini ve bu CVE’leri hemen düzeltmenin gerekli olmadığını ait detaylı açıklamaları görebilirsiniz.
Concert ana sayfasında sağ alt kısımda önceliklendirilmeyen CVE’leri görebilirsiniz.
Risk puanı baz alınarak düşük öncelikli olarak belirlediği CVE’lerin listesini aşağıda görebilirsiniz. Bu listede yer alan tüm CVE’lerin risk puanlarının CVSS skorlarından daha düşük olduüunu görebilirsiniz.
Peki neden böyle?
Bunun bir çok olası nedeni vardır, ancak hepsi Concert’in uygulama seviyesindeki analizlerine dayanır. Örneğin, belki bu zafiyet üretim ortamına hiç çıkmayak bir güvenlik duvarının arkasındadır. Concert, uygulamalar arasındaki tüm bağlantılar ve bağımlılıklar hakkındaki bilgileri kullanarak bu CVE’lerin öncelikli olup olmadığını belirlemektedir. Risk puanı buradan gelir ve CVSS skoruyla oldukça farklı olabilir.
Upload vulnerability scans..
CVE yönetimi için farklı yazılım teknolojileri kullanabilirsiniz. Concert, size bu konuda da esneklik sunmaktadır. Farklı teknolojiler yapmış olduğunuz vulnerability taramalarınızı Concert’e custom olarak yükleyebilirsiniz. Concert’e özel (CSV, XLSX, XLS), CycloneDX VDR (JSON) veya Prisma Cloud (CSV, XLSX, XLS) formatları desteklenmektedir.
“Upload Vulnerability scans” kutucuğuna tıkladığınızda size upload sayfasını açacaktır. Manuel olarak veya bir pipeline a dahil ederek düzenli olarak yükleyebilirsiniz. İdeal olarak bir pipeline kullanılarak otomatik olarak gerçekleştirilmektedir.
File type, Scan source adımlarını seçtikten sonra ilgili tarama dosyasını yüklüyorsunuz.
Şu anda desteklenen dosya tiplerinin tamamını aşağıda görebilirsiniz.
Software Composition Analysis
Uygulama kodunuzdaki yazılım paketlerinin ve bunlarla ilişkili lisansların kalitesini, güvenirliğini ve risklerini anlamanız gerekir. Açık kaynak kütüphaneleri, güvenlik açıklarına, güncel olmayan teknolojilere sahip olabilir ve bu da uygulama riskleri oluşturabilir. Concert, Software Composition Analysis özelliği ile yüksek etkili yazılım bileşenleri risklerini tespit eder, uygulanabilir bilgiler ve çözüm yolları önerisini vermektedir.
Açık kaynak bir paketin software bill of materials (SBOM) dosyasını CycloneDX formatında oluşturup yükledikten sonra, Concert o paketin riskini değerlendirmesini yaparak toplam güvenilirlik puanını hesaplar.
Açık kaynak yazılımlar (OSS), modern yazılım geliştirme dünyasında önemli bir rol oynar ve genellikle çeşitli organizasyonlar tarafından oluşturulan uygulamaların temeli olarak hizmet etmektedir. OSS paketleri veya kütüphaneleri güncelliğini yitirdiğinde veya desteğini kaybettiğinde, bu durum güvenlik açıkları oluşturabilir ve bu uygulamaların bütünlüğü için riskler doğruabilir. Bu nedenle, böyle kaynaklara dayanan işletmelerin açık kaynak teknoloji kullanımlarını izlemeleri ve potansiyel tehditleri en aza indirmek için zamanında güncellemeler yapmaları önemlidir.
Concert, uygulamalarınız içerisinde yer alan OSS paketlerini izler ve belirli paketlerin yeni sürümlere güncellenip güncellenmeyeceği konusunda önerilen eylemleri sağlar.
Her pakette mevcut olan riskleri tanımlar.
Back-level: Bu tür bir risk, paket sürümünün güncel olmadığını ve daha yeni sürümlerle ele alınabilecek potansiyel güvenlik riskleri sunduğunu gösterir.
Vulnerability: Paketin daha yeni sürümlerde düzeltilmiş bir vaya birden fazla bilinen güvenlik açığı içerdiğini gösterir ve bu durum, sistem bileşenlerinin istismar edilmesine maruz kalmasına yol açar.
License: her pakete ilişkin lisansların varlığı, uygumu ve kısıtlamaları veya karşılaştırabilirliği ile ilgili sorunlar olabileceğini gösterir. Concert, pakete tanımlanan lisansların adını, kurumsal dağıtım için onaylanmış lisanslar listesindekilerle karşılaştırır.
Packages, sekmesi, uygulamalarınız için yazılım paketlerinin tam listesini, kurulu sümrümlerini, sürüm durumunu, güvenilirlik puanlarını ve lisans detaylarını sağlar.
Bir paketin SBOM dosyasını CycloneDX formatında yükledikten sonra, IBM Concert paket bileşenlerini değerlendirir ve Open Source Security Foundation (OpenSSF) puan kartına dayalı bir güvenilirlik puanı alır.
Bir paketin üzerine tıklayarak, Concert’in paket bağımlılıkları hakkında sahip olduğu tüm bilgilere dayalı Reliability — Güvenilirlik puanının ayrıntılı dökümünü görebilirsiniz. Bu detaylar, paketle ilgili güvenlik risklerini, güncel sürüm bilgilerini ve lisans durumunu içermektedir.
Bu bilgi, hangi paketlerin güncellenmesi gerektiğini ve hangi potansiyel risklerin yönetilmesi gerektiğini anlamanıza yardımcı olmaktadır.
Upload SBOM sekmesine tıklayarak, Concert’e yükleyebileceğiniz SBOM dosyalarının listesini görüntüleyebilirsiniz. CycloneDX formatındaki paket SBOM verileri analiz edilir.
Compliance..
IBM Concert’in bir diğer kullanım senaryosu ise Compliance- Uyumluluk..
Concert, compliance denetçilerinin kolay erişimi için bir kanıt deposu sunar ve uyum izlemeyi uygulama yaşam döngüsüne entegre eder.. Bu, ekipler arasında daha iyi iş birliği için uyum etkilerinin birleşik bir görünümü sunar.
Catalogs sekmesinde, daha önceden yüklenmiş Compliance standartlarını görebilirsiniz. Örneğin, NIST 800–53, PCI DSS, FedRAMP, ve SOC2. Ayrıca kendi uyumluluk standartlarınızı da yükleme esnekliğiniz bulunmaktadır. Import Catalog sekmesinden OSCAL formatındaki uyumluluk standartlarını yükleyebilirsiniz.
Profiles sekmesinde ise organizasyonuna ait uyumluluk profillerini görebilirsiniz. Profiles bölümünde, mevcut uyumluluk katologlarından bileşenler kullanarak özel bir uyumluluk standardı oluşturabilirsiniz.
Assessments bölümünde, Concert’in uygulama hakkındaki verilere dayanarak uygulamanın farklı parçalarının uyumluluk seviyesini görebilirsiniz. NIST tarama sonuçlarına, uyumluluk standartlarından gelen kısa açıklamar da dahildir. Uygulamanıza ait uyumluluk durumunu detaylı bir şekilde incelemenize olanak tanır.
Eğer değerlendirilen ortam bir uyumluluk kontrolüne uygun değilse, ortamın uyumlu olarak kabul edilmesi gerektiğini açıklayan kanıtlar sağlayarak uyumsuz durumunu geçersiz kılabilirsiniz. Bu şekilde ortamın neden uyumlu sayılması gerektiğine dair açıklayıcı belgeler ve kanıtlar sunabilirsiniz.
Concert, watsonx tarafından desteklenerek, hazırlanan kanıtların denetçiler için yeterli olup olmadığını otomatik olarak kontrol eder ve size anında bir değerlendirme sağlar. Kanıtı ve değerlendirmeyi gönderdikten sonra, Concert tüm bu kanıtları, denetçilerin kolayca anlayacağı bir formatta derler. Bu özellik, denetim süreçlerini hızlandırarak daha etkili bir uyumluluk yönetimi sağlar.
Operations
SRE mühendisleri olarak, iş sürekliliğini sağlamak ve güvenlik uyumluluğunu korumak çok önemlidir. Standartlaştırılmamış ve düzensiz sertifika yenileme süreci, beklenmedik kesintilere ve potansiyel güvenlik ihlallerine yol açabilecek ciddi riskler taşır. Concert, tüm sertifikaları tek bir yer panoda konsolide ederek size sertifikalarınıza ait durumları ve son kullanma tarihleri hakkında tümleşik bir görünüm sağlar. Bu sayede manuel operasyonları ortadan kaldırır, unutulmuş veya süresi dolmuş sertifikaların riskini azaltır ve operasyonel kesintileri önlemeye yardımcı olur.
Concert, sertifika etkinliklerini ayrıntılı olarak izler ve sertifikaların süresi yaklaşırken otomatik olarak operasyonel ticketlar oluşturur. Bu sayede sorunları önceden tespit edip çözmenize yardımcı olur. Bu sayesde sertifikaların proaktif bir şekilde izleyebilir ve yönetebilir, böylece daha sorunsuz operasyonlar ve geliştirilmiş güvenlik durumu sağlayabilirsiniz.
IBM Concert’in 4 temel kullanım senaryosuna ait teknik detayları paylaşmaya çalıştım. Umarım faydalı olmuştur.
Bir sonraki yazıda buluşmak dileğiyle.
Reference:
