[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
“Savunanlar bulabilecekleri en güçlü ve gelişmiş çözümleri ararken, düşmanın tüm savunma pozisyonunu rayından çıkarmak için yalnızca kötü bir parolaya veya yamasız bir uygulamaya sahip tek bir kullanıcıya ihtiyacı var.” Dr. Chase Cunningham’ın “Cyber Warfare – Truth, Tactics, and Strategies” adlı kitabından yaptığı bu alıntı, siber güvenlik savaş alanları konusuna başlamak için uygun bir yol gibi görünüyor.
Kullanılan teknikler ne olursa olsun, büyük, pahalı ve gösterişli olmak – potansiyel olarak yararlı olsa da – geleneksel faaliyetler ve ilkeler üzerine kurulu varlıkları güvence altına almak için mantıklı bir yaklaşıma duyulan ihtiyacın yerini almaz. Sayısız varlık, API’lerin arkasında barındırılır ve bu, yüksek profilli hedefler oldukları anlamına gelir. Bunların güvenliğini sağlamak son derece önemlidir.
Bu konuda aklıma iki tarihi kitap geldi:
- Savaş Sanatı, Sun Tzu
- Beş Yüzük Kitabı, Miyamoto Musashi
Konuya uygulanabilirlikleri nedeniyle bu ikisini seçtim (tuhaf bir şekilde modern güvenliğe daha az özgül oldukları için – eski olmalarıyla ilgili bir şey daha geniş bir uygulamaya izin veriyor).
Kitapları yeniden gözden geçirdikten sonra, Musashi’nin beş (5) ilkesini (parşömenler; Toprak, Su, Ateş, Rüzgar ve Boşluk) alıp Sun Tzu’nun sayısız öğretisinden 5’iyle mümkün olduğunca eşleştirmeye karar verdim. Daha sonra bunları, artan sayıda tehdit aktörünün olduğu, büyüyen siber güvenlik alanında API’leri güvence altına almak için uyguladım.
Toprak
Musashi’nin Earth Scroll’daki odak noktası daha büyük resmi görmek. Uygulayıcıların manzarayı veya 30.000 ft’lik görüşü bilmesi gerekir. Sun Tzu şöyle söylemiş; En üstün savaş sanatı, düşmanı savaşmadan boyun eğdirmektir.
Nasıl Başvurulur
API’lerin güvenliğini sağlamada API saldırılarının ve saldırganların doğasını anlamak gerekir. Yaygın bir yararlanma kategorisine bir örnek, Güvenlik Yanlış Yapılandırmasıdır.
Bir SDLC izleme, erişim denetimi uygulama, bir tür uç koruma dağıtma, sürekli izleme ve uyarı kullanma ve uygun mimari ve tasarım modellerini kullanma dahil olmak üzere, saldırıları daha başlamadan önleyebilen bazı temel API güvenlik etkinlikleri.
. Suçluların çoğu kolay bir galibiyet ister ve iyi bir savunma kullanmak, saldırıların yüksek bir yüzdesini savuşturur.
Şifreleme, hem geçişte hem de beklemede bir zorunluluktur. Çalınan şeyi kullanamamakla düşman bertaraf edilebilir.
SU
Bireysel düzeyde deneyimli ve esnek – veya akıcı – olmak önemlidir ve buna kişinin şirketteki rolü de dahildir. Sun Tzu, “Esnek ol” dedi.
Nasıl Başvurulur
Toplama (CTI), değişen tehditlere gerçek zamanlı olarak uyum sağlamayı mümkün kılar. İstihbarat toplama, Bağlamsal Makine Öğrenimi (CML) kullanılarak bile, kişinin geçmiş bilgilere, söylentilere, söylentilere veya akran bilgilerine bağlı olmadığı anlamına gelir. Kendi şirketinize yönelik tehditler ve riskler hakkında mümkün olduğunca açık, ilgili ve güncel bilgilere güvenin.
CTI’ye ek olarak, iyi tasarlanmış ve test edilmiş bir olay müdahale planına odaklanın.
İstihbarat ve olaylara yanıt verme, şirket güvenliğini çevik ve uyarlanabilir hale getirmede uzun bir yol kat eder.
ATEŞ
Ateş yönü, savaş alanında silahların (aletlerin) fiili kullanımı ile ilgilidir. Sun Tzu, “Aydınlanmış hükümdar planlarını çok ileriye koyar; iyi general kaynaklarını geliştirir.”
Artık uygun temeller atıldığına göre, uygulanan API araçlarını kullanma zamanı.
Nasıl Başvurulur
API kaynaklarını yönetin ve koruyun ve API sisteminin güçlü ve zayıf yönlerini belirleyin, API erişimi için güvenli kimlik doğrulama ve yetkilendirme yöntemleri sağlayın.
Ayrıca, düzenli güvenlik testleri yaparak güvenlik açıklarını ateşe verin. Bu, kırmızı/mavi/mor takım oluşturma değilse, güvenlik açığı taramasını ve sızma testini veya hatta çalışma süresini test etmek gibi bir şeyi (API güvenliğinin genellikle gözden kaçan bir yönü) içermelidir.
Rüzgâr
Bu aynı zamanda “Stil” olarak da yorumlanır. Burada amaç, rakipleri incelemek (sadece pasif olarak gözlemlemek değil). Sun Tzu, “Düşmanı ve kendinizi tanıyorsanız, yüz savaşın sonucundan korkmanıza gerek yok” dedi.
Nasıl Başvurulur
Günümüz için, bunu diğer şirketlerin siber suçlar ve siber saldırılarla nasıl başa çıktığını inceleyerek genişleteceğiz. Biri diğerlerini endüstri, düzenlemeler ve kuruluş büyüklüğü gibi yönlere göre inceleyerek gelişecektir.
Bir şirketin a) yalnız olduğunu düşünmesi veya b) herkesten daha iyi yaptığına inanması kolaydır. Bu izolasyona yol açabilir. Kuruluş liderlerinin kuruluşlarını diğerlerinden ayırmak için her türlü nedeni vardır – farklılık, kalıcı olmasa da karlı bir iş yaratma şansına sahip olmanın önemli bir bileşenidir. Ancak bir işletmeyi benzersiz bir şekilde güvence altına almanın pek çok yolu yoktur – kimlik avı, ister uluslararası bir şirkete ister yerel bir kafeye karşı olsun, kimlik avıdır; Bir fintech kuruluşu için bir API, bir dondurma dükkanı için bir API ile hemen hemen aynıdır (mevcut mimariler yalnızca birkaç çeşittir) – birçok kişi onu kullanabilir ve kötüye kullanabilir.
Diğer şirketlerle istihbarat paylaşımı, güvenli bir topluluk oluşturmaya yardımcı olabilir.
Geçersiz
Buradaki fikir – aynı zamanda Boşluk olarak da adlandırılır – “akılsızlık” olarak anlaşılır. Bu, hiçbir beyin aktivitesinin söz konusu olmadığı anlamına gelmez, ancak daha çok sezgiye, farkındalığa ve içgüdüyle hareket etmeye işaret eder. Eylem her zaman derinlemesine düşünmeyi, başkalarından girdi almayı ve bir şeyler planlamayı gerektirmez. Bazı şeyler – doğal eğilim veya eğitim yoluyla – sadece ikinci doğadır.
Sun Tzu, “Güçlü yönlerinizi kullanın” dedi.
Nasıl Başvurulur
Güçlü yönlerinizi oynayın: bireysel, departman, kurumsal. Sizden veya şirketinizden başka kimse yok.
Güvenliği artırmak için API kaynaklarınızın güçlü yönlerinden yararlanın. Araçlarınızın giriş ve çıkışını bildiğinizden emin olun. Genellikle pahalıdırlar ve büyük olasılıkla tam kapasiteye alışkın değildirler.
Sürekli öğrenmeye ve gelişmeye odaklanın. Bu, birlikte iyi çalışan ve verileri savunma konusunda bağımsız olarak tutkulu olan bireylerden oluşan bir ekip gerektirir.
Bu sezgisellik endüstriye, elektronik tablolara veya veri analizine dayalı değildir, ilgili paydaşların bireysel ve toplu uzmanlığına bağlıdır. Genellikle, iyileştirilmiş IR, geliştirici eğitimi, çok sayıda API koruması sağlayan bir platform seçme (aynı zamanda tek bir başarısızlık noktasından kaçınma) gibi birçok cepheyi aynı anda ele alacaktır. düzenleme ortamı ve düzenli olay müdahalesi ve felaket kurtarma tatbikatlarının gerçekleştirilmesi.
sonsöz
Musashi’nin öğretilerinin birçoğunun klasik sonunu başka kelimelerle ifade etmek için, bu fikirlerin dikkatli ve derinlemesine düşünülmesi gerekir.
reklam