Deloitte, mevzuata uyum zorunluluğu olan yazılım tedarik zincirlerinde otomatikleştirilmiş zafiyet yamalamayı ölçeklendirmek için IBM ve Red Hat ile işbirliği yapıyor.
Deloitte, IBM ve Red Hat, yazılım tedarik zincirini giderek daha otomatik hale gelen siber tehditlere karşı korumaya yardımcı olacak bir işbirliğini duyurdu. Deloitte, geniş kapsamlı güvenli yazılım tedarik zinciri mimarisini ve siber risk hizmetlerini IBM ve Red Hat tarafından devreye alınan büyük ölçekli kurumsal açık kaynak güvenliği modeline taşıyarak Lightwell girişimine entegrasyon ortağı olarak katılıyor.
Kurumların büyük bir kısmı; birinci taraf kod, açık kaynak yazılım ve üçüncü taraf ticari yazılımların bir kombinasyonuna güveniyor. Tek bir ticari uygulama bu üç bileşeni birden içerebildiğinden, yamalanmamış bir zafiyet tüm kurumsal varlık genelinde anında risk oluşturabiliyor. Öncü yapay zeka modelleri bu riski daha da hızlandırırken, saldırganların sıfırıncı gün açıklarını dakikalar içinde keşfetmesine ve bunlardan yararlanmasına olanak tanıyor.
Lightwell, açık kaynak yazılım güvenliği iyileştirme süreçlerini geleneksel yazılım yükseltme döngüsünden ayırarak bu operasyonel baskıyı hafifletmeyi amaçlıyor. Girişim, kurumsal bir açık kaynak güvenlik modelini aktif bir mühendislik gücüyle birleştiriyor. IBM ve Red Hat tarafından desteklenen Lightwell, üretim ortamlarında çalışan sabit yazılım sürümlerine doğrudan yamalar geliştirip, test edip ve geriye dönük olarak uygularken, bağımsız geliştiricilerle (maintainers) birlikte kaynak tehdit ifşalarını koordine ediyor. Lightwell, bu belirli ve kullanımda olan yazılım sürümlerine doğrulanmış yamalar ulaştırarak, iş kesintisi yaratan yükseltmelere zorlamadan kritik sistemleri koruyor.
Bu iş birliği aracılığıyla üç kuruluş, müşterilerin güvenlik tehditlerini yönetmelerine yardımcı olmak için yazılım yaşam döngüsü boyunca şu alanlarda koordinasyon sağlayacak:
- Sürekli Görünürlük ve Keşif: Tam olarak hangi kodun var olduğunu, nerede çalıştığını ve hangi kritik iş fonksiyonlarını desteklediğini belirlemek için tescilli kod, açık kaynaklı ve üçüncü taraf yazılımları sürekli olarak haritalandırmak ve taramak.
- Bağlamsal Önceliklendirme: Operasyonel kararları bilgilendirmek amacıyla önem derecesini, risk maruziyetini, tehdit zincirlemesini ve istismar edilebilirliği analiz ederek aktif tehditleri arka plan gürültüsünden ayırmak.
- Makine Hızında İyileştirme: Kesintileri sınırlamak amacıyla doğrulanmış düzeltmeleri üretim depolarıyla hızlı bir şekilde koordine etmek, test etmek ve dağıtmak için Red Hat ve IBM’in otomatik yama doğrulaması ile Deloitte’un orkestrasyon hizmetlerini birleştirmek. Bunu başarmak için Deloitte, müşteri uygulamalarının devam eden iyileştirme ve bakım süreçlerini desteklemek üzere bir Saha Mühendisleri (FDE – Forward Deployed Engineers) kadrosu bulunduracak.
- Ekosistem Güveni ve Uyum: Kurumlar, bu iş birliği sayesinde işletmelerin ifşa öncesi zafiyet devirleri de dahil olmak üzere üst kaynak açık kaynak ve satıcı ilişkilerini yönetmelerine yardımcı olurken; yönetim kurulları, denetçiler ve düzenleyici kurumlar için sürekli, kanıta dayalı raporlama sağlayacak.
Deloitte ABD Siber Lideri Adnan Amjad, “Siber saldırılar manuel yamama süreçlerini beklemez, kurumsal yanıtlar da bekleyemez,” diyerek şöyle ekledi: “Birlikte, müşterilerimizin zafiyetleri tespit etmesi, doğrulaması ve gidermesi için makine hızında faaliyet göstermelerine olanak tanıyoruz. Bu işbirliği, giderek karmaşıklaşan yazılım ekosistemlerinde güveni sürdürmek için gereken operasyonel dayanıklılığı oluşturmayı; yani işi kesintiye uğratmadan riske karşı koyabilen ve riski etkisiz hale getirebilen sistemler yaratmayı amaçlıyor.”
IBM Servis Ortakları Başkan Yardımcısı Savio Rodrigues görüşlerini şöyle açıkladı:
“Lightwell, yapay zeka destekli bir tehdit ortamında açık kaynaklı yazılımların güvenliğini sağlama konusunda büyüyen zorluğa yanıt vermek üzere kuruldu. Bu riski ölçekli bir şekilde ele almak için gereken mühendislik, otomasyon ve ekosistem ortaklıklarını bir araya getiriyor. Deloitte ile iş birliği yapmaktan ve bu modeli daha fazla kuruma ulaştırmak için onların siber risk yönetimi alanındaki yetkinliklerinden yararlanmaktan heyecan duyuyoruz.”
Red Hat Küresel Ortak Ekosistemi Başkan Yardımcısı Kevin Kennedy, “Açık kaynak inovasyonu körüklüyor fakat yapay zeka tarafından üretilen tehditlerin hacmi, saldırganın hızına ayak uydurabilecek bir mühendislik kapasitesi gerektiriyor. Deloitte ile yaptığımız çalışma, IBM ile Lightwell kapsamında geliştirdiğimiz iyileştirme yetkinliklerini doğrudan kurumsal uygulama ortamlarına taşıyacak. Birlikte, açık kaynak ekosistemini desteklerken ve müşterilerimizin bağımlı olduğu belirli sürümleri korurken, düzeltmeleri izole edecek, yamalayacak ve teslim edeceğiz.”
Zafiyet keşif hızı arttıkça, kurumlar yazılım yaşam döngüsü genelinde hesap verebilirliği artırırken riske maruz kalma oranını azaltmaya yardımcı olacak çözümler arıyor. Bu işbirliği, müşterilerin tam olarak bunu yapmasına yardımcı olmayı; yazılım tedarik zinciri güvenliğini parçalı ve reaktif bir süreçten koordineli, kanıta dayalı bir işletim modeline dönüştürmeyi hedefliyor.
Bu işbirliği, Deloitte ve IBM’in müşterilerin siber güvenlik, dayanıklılık, dijital güven ve diğer gelişmekte olan teknoloji risklerini ele almalarına yardımcı olmaya odaklanan geniş kapsamlı ilişkisine dayanıyor. Ayrıca, işletmelerin hibrit bulut karmaşıklığını yönetmelerine ve iş entegrasyonunu hızlandırmalarına yardımcı olmak için açık kaynak teknolojilerini ve BT otomasyonunu birleştiren, on yıllık Deloitte ve Red Hat ittifakından da güç alıyor.



