Uygulama güvenliği hızlı değişiyor. Bu net güvenlik röportajında, Loris Gutic, Global Ciso Bright, devam etmek için neler gerektiğini anlatıyor. Gutic, DevOps, Contents ve Serverless araçlarının güvenliği nasıl şekillendirdiğini açıklar ve en büyük riskler, önemli kontroller ve AI’nın neden dikkatle kullanılması gerektiğine dair görüşleri paylaşır.
Uygulama güvenliğine yaklaşımınız DevOps, Contenters ve Serverless mimarilerin yükselişiyle nasıl gelişti?
Teknoloji endüstrisi, miras yaklaşımından, güvenliğin daha çok bir kontrol noktası olan uygulama güvenliğine, geliştirme döngüsünün sonunda, genellikle yüzeysel olarak işaretlemek için bir kutu olduğu uzun bir yol kat etti. Bugün, uygulama güvenliği, başlangıçtan çalışma zamanına kadar, geliştirme yaşam döngüsüne özünde bağlı bir şey olarak kabul edilmektedir.
Neyse ki, o endüstri alanındaki inovasyon nedeniyle, herhangi bir statik güvenlik kapısının çok dinamik sistemler üzerinde yeterli koruma sağlayabileceği fikrinden uzaklaştık. Bunun yerine yapılan şey, harekete geçirilebilir öneriler ve hatta otomatik iyileştirme ile otomasyon, sürekli doğrulama ve bağlama duyarlı testlerin süreçte kökleşmesini sağlamaktır.
Uygulama güvenliği ve geliştiriciler her zaman dostça terimlerde bulunmamıştır, ancak uygulama, yenilikçi güvenlik çözümlerinin boşlukları köprülediğini, geliştiricileri ve güvenliği kesintisiz bir şekilde bir araya getirdiğini ve güvenlik artık geliştiricilerin günlük işlerinde bir engel olmadığını gösteriyor. Oldukça aksi-güvenlik CI/CD boru hatlarında yuvalanmıştır, erişilebilir, göz ardı edilmez ve yanlış pozitif güvenlik açıklarının dalgaları ve dalgaları için taramanın ötesine geçmiştir. Geliştiricileri, meseleleri erken, bağlamda ve teslimatı ve hızını etkilemeden düzeltmeleri için güçlendirme konusunda güçlenir ve kalmaya hazırdır.
Konteynerlere gelince, tüm ekosisteme uzanan saldırı yüzeyine katkıda bulunurlar – yanlış yapılandırılmış görüntüler, maruz kalan kayıtlar, güvensiz taban katmanları, hepsi dikkat etmemiz gereken riskleri temsil eder ve uygun güvenlik önlemleriyle kaplı olduklarından emin olurlar.
Sunucusuz, artık uzun ömürlü sunucularla veya öngörülebilir çalışma zamanı davranışı ile uğraşmıyorsunuz. Bunun yerine, genellikle öngörülemeyen dizilerde çalışan olaylar tarafından tetiklenen kısa ömürlü işlevlerle çalışıyorsunuz. Bu, istikrarlı altyapı bekleyen geleneksel güvenlik araçlarını uygulamayı çok zorlaştırır. Bunun yerine, bu işlevlerin uygulamanın gerçek iş akışları bağlamında gerçek zamanlı olarak nasıl davrandığını anlayan dinamik bir yaklaşımdır.
Basitçe söylemek gerekirse, uygulama artık sadece kodla ilgili değil. Karmaşık bir birbirine bağlı parçalar sistemidir ve yalnızca kodu ele almak yetersizdir; Tüm ortamın dikkate alınması, çalışma şekli ve kullanılma şekli. Bu, genellikle gözden kaçan iş mantığı testi, güvenli bir uygulama geliştirme sürecini sürdürmenin genel çabalarına önemli ölçüde katkıda bulunabilir.
Yığın veya altyapı ne olursa olsun, uygulama ortamları için pazarlık edilemez olan belirli güvenlik kontrollerini düşünüyorsunuz?
Doğal olarak, mimariye bakılmaksızın temel çizgiler var. Önem sırasına özel bir vurgu yapmadan aşağıdakileri inceleyebiliriz:
1. Kimlik doğrulama ve yetkilendirme hijyeninin kurulması, saygı duyulması, uygulanması ve izlenmesi gerekir. Her bileşen, her kullanıcı, her hizmet, güçlü sır yönetimi yerinde ve kod tabanlarında sert kodlanmış kimlik bilgilerinin sıkı bir şekilde ortadan kaldırılmasıyla en az ayrı prensipte çalışmalıdır. İkincisi özellikle Miranda uyarısını yansıtır-söylediğiniz herhangi bir şey (veya bu durumda sabit kod) acımasız siber saldırı sürecinde size karşı kullanılabilir ve kullanılacaktır.
2. Giriş validasyonu ve çıkış kodlaması da kalıcı hususlardır. Yığıntan bağımsız olarak, SQLI, XSS ve ilgili sorunlar her zaman mevcuttur, bu nedenle her uygulama veri sanitizasyonunun kaynağa mümkün olduğunca yakın olmasını sağlamalıdır.
3. Daha sonra, güvenli CI/CD boru hatları doğal olarak önlenmesi gereken uzlaşma riskini içerir. Bu nedenle, eserlerin imzalanması, yapı ortamlarının kontrol edilmesi ve katı bir değişim kontrol sürecinin sürdürülmesi vazgeçilmezdir.
4. Çalışma zamanı gözlemlenebilirliği de dikkat gerektiren kritik bir alandır. API trafiği, fonksiyon seviyesi yürütme izleri veya anomali tespiti ile ilgili olursa olsun, üretim ortamlarında olağan dışı davranışları tespit etme yeteneğini sağlamalıyız. Yanlış pozitif uyarıların paranoyak aşırılıkları ile eşleştirilmiş günlüklerin ve bulguların izlenmesi ve analiz edilmesi çok yorucu olabilir ve bu nedenle yeterince kabul edilebilir; Uygun yapılandırmaların uyarı yorgunluğunu azaltabileceği ve uygun seviyelerde uyanıklığı koruyabileceği yer burasıdır.
5. Son olarak, ancak kesinlikle en az değil, üretim öncesi ve üretimdeki otomatik test ve validasyon, gerçekçi koşullarda dinamik, mantık ve davranışsal testler de dahil olmak üzere yüzeysel öteye geçmelidir. Statik ve yüzeysel testlerle sınırlı olma riski oldukça önemlidir, bu nedenle aynı zamanda verimli, eyleme geçirilebilir, bilgilendirici ve geliştirici dostu olacak otomatik test mekanizmalarını uygulamak ciddi bir öneme sahiptir.
Uygulama ortamlarında gördüğünüz en kritik tehditler nelerdir? Daha fazla tedarik zinciri odaklı, kimlik odaklı mı yoksa başka bir şey mi?
Sektörümüz, izole böcekler, güvenlik açıkları veya yanlış yapılandırmalar tehditlerinin ötesine geçti. Sunulan sorunlar sistemiktir. Evet, tedarik zinciri, tehlikeye atılan üçüncü taraf paketler, kötü niyetli bağımlılıklar veya lekeli CI/CD ortamı yoluyla oldukça baskın vektör haline geldi; Saldırganlar güven modelinin kendisini hedefliyor ve az miktarda başarısı yok.
Bir başka düşünceli savaş alanı kimliktir. Dağıtılmış mikro hizmetlere güvenerek, her bileşen hem istemci hem de sunucu olarak işlev görür, bu nedenle yanlış yapılandırılmış kimlik sağlayıcıları veya zayıf jeton doğrulama mantığı yanal hareket ve katlanarak artan saldırı fırsatları için yer açar. İsimleri adlandırmadan, jeton sahteciliğinden veya yetkilendirme başlık manipülasyonlarından ihlallerin nasıl olabileceğini gösteren yeterli miktarda vaka vardır.
Ek baş ağrıları açık API’ler ve gölge hizmetleridir. Geliştiriciler yeni uç noktalar yaratırlar ve sürecin hızlı temposu nedeniyle, incelemeden kolayca kaçabilirler, bu uç noktaları “yakalayacak” ve geliştirme sürecini güvence altına alacak olan sürekli keşif ve dinamik testlerin önemini daha da vurgulayabilirler.
Uygulama ortamları için bir güvenlik stratejisi oluştururken, hangi yol gösterici çerçevelere veya modellere öncelik veriyorsunuz?
Enterprise düzeyinde tehdit modellemesi için NIST 800-53, OWASP ASVS ve MITER ATT & CK’yi harmanlamaya öncelik veriyoruz. Güvenli SDLC entegrasyonu için, kalkınma, test ve dağıtım uygulamalarında olgunluğu değerlendirmek için OWASP SAMM’den büyük ölçüde yararlanıyoruz.
Bununla birlikte, sürecin sonunda güvenliği sadece bir kontrol noktası tutma miras perspektifini terk etmek önemlidir. Neyse ki, bu zaten büyük ölçüde terk edilmiş bir yaklaşım, bu yüzden odak noktası sola kaymak ve akıllıca yapmak. Kendini sola kaydırmak yeterli değildir – doğru kontrollerin doğru derinliğe sahip olması ve eyleme geçirilebilir, bağlamsal geri bildirim sağlamalarını sağlamakla ilgilidir.
Güvenlik asla bitmez. Asla tamamlanmadı. Herhangi bir son kilometre taşları yaratmanın bir anlamı yoktur – kesinlik yoktur. Sadece izleme, dikkatlilik, uyanıklık ve koşullara uyum sağlar. Ve çoğu zaman gözden kaçan – esneklik. Çerçeve ne olursa olsun sorunlar ortaya çıkacaktır. Şirketlerin kendilerine sorması gereken sorulardan biri, “Çevremiz sorunları havalandıracak kadar esnek mi?”
Uygulama ortamlarını güvence altına almak için AI veya ML araçlarından mı yararlanıyorsunuz? Eğer öyleyse, hangi kapasitede?
Evet, ama pervasızca veya körü körüne değil ve bunu sıkı korkuluklarla yapıyoruz. AI ve ML’nin güvenlik operasyonlarına katkıda bulunma konusunda faydaları olduğu sorusu yoktur, ancak değiller ve hiçbir koşulda özerk karar vericiler olmazlar. AI, opaklık veya risk getirmemeli, hassasiyet ve verimliliği artırmalıdır. Bu yüzden, daha geniş güvenlik yönetişimimize tamamen gömülü olan Ai-gelişmiş kalkınma iş akışlarına özel bir yaklaşım inşa ettik (ve yakında pazarlama yapacağız!).
Özellikle, üç ana alana yardımcı olmak için AI kullanıyoruz:
- Davranışsal Baselining ve Anomali Tespiti -AI modelleri, çalışma zamanı ortamlarında uygulama davranışındaki sapmaları tanımlamaya yardımcı olur, bu da kimlik bilgisi doldurma, kırık nesne düzeyinde yetkilendirme veya statik kurallarda kodlanması zor olan mantık yanlışları gibi kötüye kullanım kalıplarını işaretleyebilir.
- Bağlamsal risk puanlama – Dahili araçlarımız, hangi değişikliklerin daha yüksek risk oluşturabileceğine öncelik vermek için taahhüt mesajlarını, değişim köpeğini ve hatta kapsam deltalarını ayrıştırmak için AI’dan yararlanır. Bu, doğrudan hedeflenen güvenlik doğrulamasını nasıl ve nerede uyguladığımıza doğrudan beslenir.
- Geliştirici Verimliliği Artırma -Ortamlarımızda sabit olan önceki güvenlik açıklarından tarihsel kalıplardan yararlanan bağlam içi iyileştirme rehberliği sunuyoruz. Bu sadece bazı genel “kopilot” araçları değildir; Bağlam farkındadır ve güvenlik standartlarımızla uyumludur.
Bununla birlikte, herhangi bir AI güdümlü veya AI destekli aktivite üzerinde sıkı kontrol ve görünürlük sağlıyoruz. Her çıktı – önerilen bir düzeltme, bir risk skoru veya anomali uyarısı olsun – tanımlanmış inceleme ve doğrulama adımlarından geçer. AI tarafından üretilen hiçbir sonuç otomatik olarak veya izlenebilirlik olmadan harekete geçmez.
Ayrıca tüm geliştirilmiş geliştirme çabaları için titiz iç kaplama politikaları uyguluyoruz. Bu, herhangi bir üretime ulaşmadan önce kod provenans kontrolleri, tekrarlanabilirlik gereksinimleri ve döngüdeki insan kontrollerini içerir. Bu yaklaşım bize her iki dünyanın da en iyisini verir: AI’nın hızı ve genişliği ve gerçek dünya saldırısı senaryolarına dayanan insan gözetiminin güvencesi. Asla güveni körü körüne otomatikleştirmekle ilgili olmamalı – bu, AI sınırlamalarını ve insan denetiminin gerekliliğini akılda tutarken, çok kasıtlı, çok eklemli bir şekilde mühendislik ile ilgilidir.