Bu yardımda net güvenlik görüşmesinde, G42 Company’deki eski siber güvenlik başkanı Galal Ibrahim Maghola, geliştiricileri ölçeklendirmeye yönelik stratejik yaklaşımları tartışıyor. Finans, telekom ve kritik altyapı gibi düzenlenmiş endüstrilerdeki deneyimden yararlanan sahiplik modelleri, otomasyon ve uyumluluk hakkında ipuçları sunar. Yaklaşımı, hız, güvenliği ve geliştirici verimliliğini dengeleyen işbirlikçi uygulamalara odaklanmaktadır.
Şirketlerin Devsecops’un sahipliğini yapısı yapmayı nasıl öneriyorsunuz? Güvenlik ekipleri onu yönlendirmeli mi, yoksa geliştirici liderliğinde daha etkili mi?
Benim görüşüme göre, devsecops, mülkiyeti olmayan ancak silo olmayan ortak bir sorumluluk modeli olarak yapılandırılmalıdır. Güvenlik ekipleri, stratejiyi, standartları ve kontrolleri tanımlayarak bir yönetişim ve risk perspektifinden öncülük etmelidir. Bununla birlikte, gerçek başarı, geliştirme ekipleri bu kontrolleri normal iş akışlarının bir parçası olarak uygulama konusunda sahip olduklarında gerçekleşir.
Kariyerimde, özellikle finans, telekom ve enerji de dahil olmak üzere yüksek düzeyde düzenlenmiş endüstrilerdeki güvenlik operasyonlarına liderlik ederken, bu çift sahiplik modelini en etkili buldum. Örneğin, GCC’deki bir dijital banka ile bir katılım sırasında ekibim, hepsi güvenlik ekibi tarafından tasarlanan ancak geliştiriciler tarafından gömülü olan güvenli kodlama standartları, CI/CD sertleştirme şablonları ve taahhüt öncesi tarama uyguladı. Ayrıca, mühendislik ekiplerinde “güvenlik şampiyonları” kurduk ve bu da boşluğu doldurmaya yardımcı oldu. Bu şampiyonlar sadece eğitilmedi, iş hedefleriyle uyumlu riske dayalı kararlar verme konusunda teşvik edildi ve yetkilendi.
Güvenlik devsecops’u tek taraflı olarak sürmeye çalışırsa, bir darboğaz olma riskiyle karşı karşıya kalır. Ancak geliştiriciler gözetim olmadan liderlik ederse, güvenlik borcu hızlı bir şekilde birikir. Güvenliği mimar ve geliştiriciler olarak inşaatçılar olarak düşünün. İkisi de sonuca sahip.
Kuruluşlar Devsecops’ta otomasyon ve insan gözetimi arasında doğru dengeyi nasıl etkileyebilir? Boru hattının otomasyonun en fazla değeri veya en çok riski eklediği belirli aşamalar var mı?
Otomasyon Devsecops’ta kritik öneme sahiptir, ancak her yerde değil, eşit değil.
Deneyimlerime göre, boru hattının ilk aşamalarında otomasyonun gücünü gördüm. Ön-Önleme veya CI aşamaları sırasında statik kod analizi, bağımlılık taraması ve gizli algılama yüksek güvenle otomatikleştirilebilir. Bu sorunları erken yakalar ve bunları%80’e kadar düzeltmenin maliyetini azaltır.
Ancak, bağlamsız otomasyon tehlikeli hale gelir, özellikle konuşlandırmaya daha yakındır. Otomatik güvenlik politikaları, üçüncü taraf kütüphanelerde göz ardı edilemez güvenlik açıklarına göre dağıtımları engellediğinden müdahale etmek zorunda olan SOC ekiplerine liderlik ettim. Bu, otomasyonun değer katmadan sürtünmeye neden olduğu klasik bir örnektir.
Dolayısıyla denge olgunluk ile ilgilidir: bulguların yüksek güven ve kolayca düzeltilebilir olduğu yerlerde otomatikleştirin, ancak serbest bırakma kapıları, üretim değişiklikleri veya tehdit avı gibi risk bağlamının önemli olduğu aşamalarda gözetimini koruyun. İnsan liderliğindeki inceleme, özellikle deneyimli analistlerden veya kırmızı ekiplerden, bu alanlarda hayati önem taşıyor.
Güvenlik tarama araçlarının geliştirici verimliliğini yavaşlatmamasını veya tetikleme uyarısı yorgunluğunu nasıl sağlıyorsunuz?
Bu, DevSecops programlarında gördüğüm en yaygın başarısızlık noktalarından biridir. Araçlar genellikle ayarlama veya bağlam olmadan boru hatlarına bırakılır, alakasız bulgularla ezici geliştiriciler. Sonuç? Yorgunluk, direnç ve geçici çözümler.
Birden çok müşteri ortamında, özellikle finansal hizmetler ve kritik altyapıda uyguladığım şey, riske yönelik bir uyarma modelidir. Taramalar yalnızca eyleme geçirilebilir güvenlik açıklarını işaretlemek için ayarlanmıştır. Örneğin, sömürülebilir ve kritik işlevleri etkileyen CV’ler derhal yükselirken, düşük riskli bulgular birikmiş işleme için ertelenir.
Çok uluslu bir grupta ISO 27001 ve NIST hizalamasını içeren büyük bir projede, taramayı taahhüt öncesi kancalar ve gitlab eylemleri kullanarak geliştiricinin IDE’ye entegre ettim. PR geri bildirim döngüsünde yerleşik iyileştirme ipuçları ile sonuçların bağlamsal olmasını sağladık. Geliştiricileri hedef değil, çözümün bir parçası haline getirdi.
Ayrıca, tarama kurallarını sürekli olarak geliştirmek için mühendislik ve güvenlik ekipleri arasında bir geri bildirim döngüsü oluşturmak esastır. Zamanla, yanlış pozitifleri% 60 azalttık ve tarama kabulünü% 70 oranında artırdık.
NIST, ISO veya PCI DSS gibi uyumluluk gereksinimlerini bir Devsecops boru hattına yavaşlatmadan nasıl yerleştirirsiniz?
Uyumvopları yavaşlatmamalıdır. Kodlanmalı, otomatikleştirilmeli ve işlemin içine pişirilmeli, sonunda bir kontrol listesi gibi eklenmemelidir.
Örneğin, bölgesel bir telekom sağlayıcısının hem NIST hem de ISO 27001 ile uyumlu olmasına yardımcı olduğum bir katılım sırasında, kontrol gereksinimlerini teknik politikalara çevirdik. Kodu olarak altyapı (IAC) şablonları sertleştirme standartlarına gömülmüştür. Terraform dağıtımları sırasında çalışma zamanı yapılandırma politikalarını uygulamak için açık politika aracısı (OPA) kullanılmıştır. CIS Docker kıyaslamaları, konteyner yapıları sırasında açık kaynaklı araçlar kullanılarak otomatik olarak uygulandı.
Ayrıca, gerçek zamanlı uygunluk kanıtı sağlayan kodlu gösterge panoları oluşturduk. Bu, acı verici manuel denetim hazırlık döngülerini ortadan kaldırdı. Denetçiler şifreleme, günlüğü veya erişim kontrollerinin kanıtı istediğinde, zaten imzalı boru hattı günlükleri ve otomatik taramalar yoluyla belgelenmiştir.
Bu yaklaşım, denetim hazırlama süresinin% 40 azaltılmasına yardımcı olurken, kontrollerin sadece zaman içinde uyumlu değil, sürekli olarak uygulanmasını sağlamıştır.
Yapay zekanın yükselişi ve makine öğrenimi devsecops uygulamalarını ve araç zincirlerini nasıl etkiliyor? Güvenlik açıklarına öncelik vermek veya kötü niyetli taahhütleri tespit etmek gibi hype ötesinde gerçek kullanım durumları var mı?
AI alanında çok fazla gürültü var, ancak altında olgunlaşmaya başlayan bazı gerçek, ortaya çıkan özellikler var.
Gördüğüm en umut verici alanlardan biri AI destekli güvenlik açığı önceliklendirmesidir. Ulusal bir enerji şirketi için siber risk azaltmayı destekleyen yakın tarihli bir girişim sırasında, sömürülebilirlik eğilimleri, varlık maruziyeti ve tarihsel yama gecikmelerini içeren ML tabanlı puanlama modellerini kullandık. Bu, gerçek riskin% 85’inden fazlasını temsil eden sorunların% 5’inden daha azına öncelik vermemizi sağladı. Bu odak düzeyi MTTR’yi önemli ölçüde geliştirdi ve riske maruz kaldı.
Çekiş kazanan bir diğer alan da kötü amaçlı kod algılamasıdır. Bazı AI ile çalışan araçlar artık, özellikle açık kaynaklı ağır ortamlarda değerli olan, işaretli anomalileri işaretlemek için taahhüt davranışını, katkıda bulunan itibarını ve kod kalıplarını analiz ediyor. Kusursuz olmasa da, bu araçlar insan incelemesini artıran erken uyarı sistemleri sunar.
Bununla birlikte, hala şeffaflığa ihtiyacımız var. Devsecops’taki AI, özellikle düzenlenmiş ortamlarda açıklanabilir kararları desteklemelidir. AI’yı deneyimli mühendislerin yerine değil, karar destek katmanı olarak görüyorum. Doğru kullanıldığında, triyajı hızlandırır, kör noktaları vurgular ve proaktif savunmayı mümkün kılar.