Fazla iyi bir şey diye bir şey var. Ya da çok fazla iyi şey var.
Ve bu, uygulama güvenliği riskini kurumsal ölçekte ve benzeri görülmemiş bir hızda yönetme ihtiyacının hiç olmadığı kadar dijital bir dünyada bir sorun haline geldi.
Bu talebi karşılamak için birçok kuruluş mevcut uygulama güvenliği testi (AST) araçlarına ekleme yaptı. Görünüşe göre algı şu ki, eğer bazı araçlar güvenliğinizi artırırsa, daha fazlası onu daha da fazla ve daha hızlı geliştirecektir. Kurumsal Strateji Grubu yakın zamanda kurumsal kuruluşların %70’inin 10 veya daha fazla AST aracı kullandığını bildirdi.
Ancak “araçların yayılması” muhtemelen tam tersi bir sonuca yol açacaktır. Daha hızlı geliştirmeyi sağlamak yerine, ekiplerin büyük, karmaşık, heterojen AST ortamlarını yönetmekte zorlanmasına yol açar; yüzlerce uygulama genellikle birden fazla ekipte düzinelerce araç tarafından test edilir. Ekipler sürekli bildirim bombardımanına tutulduğunda “gürültüyü” görmezden gelmeye başlarlar.
Evet, AST araçları gereklidir. Bunlar, modern gelişimin talep ettiği hızda yazılımın güvenliğini oluşturmak için çok önemlidir. Ama çok mu fazlalar? O kadar iyi değil, özellikle de aynı şeyi yapmak için tasarlanmış birkaç tane varsa. Bu durumda fazlalık sizi zayıflatır.
Basitçe araç eklemenin bir başka sorunu da, bir güvenlik programının başarısını veya başarısızlığını ölçmeyi neredeyse imkansız hale getirmesidir. Tüm bu araçlara sahip olmak, başarının ve yatırım getirisinin neye benzediğine karar vermek ve bunları ölçebildiğinizden emin olmak yerine, odağı sonsuz taramalarla veri toplamaya kaydırır.
Çözüm, Henry David Thoreau’nun ikonik “basitleştir, basitleştir” mantrasının günümüz versiyonudur. Yazılım araçları söz konusu olduğunda “birleştir, birleştir” olmalıdır.
Aletlerin dağınıklığını ortadan kaldırmak için sıkı bir envanterle başlayın. Hangi araçlara sahip olduğunuzu ve bunların ne yapması gerektiğini bilin. Hepsinin güncel olduğundan emin olun. Sonra değerlendirin: Hepsi etkili mi? Gerekli? Biri başka bir aracın, belki daha iyi bir aracın yaptığının aynısını mı yapıyor?
Araçlar kalitesiz veya gereksizse güvenlik karmaşası yaratıyorlar, o yüzden onlardan kurtulun.
İkinci olarak, araçlarınızın birlikte çalışabildiğinden emin olun. Diğerleriyle iyi anlaşamıyorsa, birinin sınıfının en iyisi olarak kabul edilmesinin bir önemi yok. Güvenliği baştan sona geliştirmeye dahil etmek için entegrasyon kolaylığına ihtiyacınız var.
Daha sonra başarıyı ölçmenize yardımcı olacak politikaları belirleyin. Bu, başka bir envanterle başlar: Mevcut yazılım varlıklarınızı ve uygulamalarınızı belgeleyin. Daha sonra hangilerinin güvenlik duvarı arkasında olduğu (yani internete açık olmadığı ve bu nedenle istismar edilemez olduğu), iş açısından kritik ve hangilerinin saldırılara karşı en savunmasız olduğu gibi şeylere dayalı olarak onlara bir risk sıralaması atayın.
Bu daha sonra başarı ölçütlerini belirlemenize yardımcı olacaktır. Bunlar sınırlı olmalıdır (güvenlik açığı yoğunluğu, önceliklendirme süresi veya iyileştirme süresi gibi şeyler) ancak kuruluşun belirli iş hedefleriyle uyumlu olmalıdır, bu da herkes için aynı olmayacağı anlamına gelir.
Bu ölçümler daha sonra AST araçlarının nasıl yapılandırılacağını belirleyen politikalara rehberlik edebilir. Doğru şekilde yapılandırılmış araçlar, kuruluşlara, görünümü alakasız veri yığınlarıyla karıştırmadan, öncelikleriyle ilgili olarak güvenlik programlarının performansını ölçme olanağı sağlar. Araç politikası şu gibi soruların yanıtlanmasına yardımcı olur: Tüm yazılımım nerede? Ne kadar güvenli? İyileşiyor muyuz? Zamanımızı ve kaynaklarımızı doğru alanlara mı harcıyoruz?
Yazılım geliştirme yaşam döngüsü (SDLC) boyunca önceliklerinize uyacak şekilde yapılandırılmış araçların doğru kombinasyonu (temel üç AST aracı, açık kaynak yazılım için statik analiz, dinamik analiz ve yazılım kompozisyon analizidir) yazılımın bu yakalanması zor hedefini getirebilir. Bir aracın daha yardımıyla kurumsal ölçekte risk yönetimi elinizin altında.
Güvenlik ilkesi uygulamasını, test sonuçlarını ve kusur gidermeyi kontrol altına almanın en iyi yolu, güvenlik ekiplerinin bulguları yönetmek için ihtiyaç duyduğu görünürlüğü sağlayan bir uygulama güvenliği duruş yönetimi (ASPM) aracı kullanmaktır. Onlara tüm geliştirme ortamı genelinde güvenlik ve risk durumuna ilişkin konsolide bir görünüm sunar.
Pek çok avantajından biri de düzenlemedir; yani SDLC boyunca doğru testi doğru zamanda doğru araçla yapmak.
İyi bir ASPM çözümü, çeşitli kaynaklardan gelen verileri ilişkilendirip analiz edecek, güvenlik araçlarını yönetmenize ve düzenlemenize olanak tanıyacak ve güvenlik politikalarınızı otomatikleştirecektir. Çoğu araçtan bağımsız olduğundan, mevcut araçlarınızdan hangisinin en etkili olduğu konusunda görünürlük sağlarlar.
Bu da başarıyı ölçmenin başka bir yoludur.