Uygulama güvenliği (AppSec) programlarının kullanımı zordur ve güvenlik açıklarıyla doludur. Aşırı yüklenen personel yetersiz bir bütçeyle karşı karşıyadır. Geliştiricilerle iletişim zordur. Bu sözler o kadar doğru ki, o kadar her yerde mevcut ki kinaye haline geldiler. Bu yüzden üç ayda 70.000 güvenlik açığını çözmeyi başaran iki kişilik bir ekiple tanışmak nefesimi kesti.
70.000 Güvenlik Açığı mı? Gerçekten mi?
Aslında 80.000 tane buldular, bunun 70.000’ini 90 gün içinde tamir edebildiler. Bu sayılar özellikle savunmasız uygulamaları göstermez. Bazen gölge BT olarak adlandırdığımız mesleki gelişim ile vatandaş gelişimi arasındaki kuma çizilen alışılagelmiş çizgilerin ötesinde, aynaya gerçek anlamda bakmayı ifade ediyorlar.
Vatandaş geliştiricileri artık büyük işletmelerin her parçasına yerleştirilmiştir. Evet, buna seninki de dahil. Microsoft’un geçen yıl duyuruldu M365’te yerleşik olarak bulunan popüler az kodlu/kodsuz platformu Power Platform’un, yıldan yıla %50 büyüyerek 33 milyon kullanıcıyı aştığını söyledi. Bu kullanıcılar kuruluş için, yani sizin kuruluşunuz için çalışır. Finanstan risk ve müşteri hizmetlerine kadar kritik uygulamalar geliştiriyorlar. Bu, işletme ve işletme (kullanıcı) tarafından dijital dönüşüme gerçek bir destektir.
Vatandaş Gelişimi Güvenlik Sorunları
Vatandaş gelişiminin birkaç yönü, bunun etrafında bir AppSec programı oluşturmayı özellikle zorlaştırıyor:
-
Vatandaş gelişiminin ölçeği, ister geliştirici sayısı, ister uygulama sayısı veya başka herhangi bir ölçümle ölçün, mesleki gelişimin 10 katı ila 100 katı arasındadır.
-
İş birimleri arasındaki fark o kadar büyük olabilir ki, bazı iş birimlerini ayrı varlıklar olarak düşünmek daha kolaydır. Gerçekten de yeterince büyük bir şirkette bazı iş birimleri farklı yasa ve düzenlemelere tabidir ve farklı risk iştahına sahiptir.
-
İş kullanıcıları olarak vatandaş geliştiricileri güvenlik konusunda bilgili değildir. Bir iş kullanıcısına enjeksiyon saldırılarını açıklamaya çalışırsanız, bu muhtemelen verimli bir konuşma olmayacak veya kimsenin zamanının iyi bir şekilde kullanılması olmayacaktır. Vatandaş geliştiriciler en iyi yaptıkları şeyi yapmalı: işi ileriye taşımak.
-
Son olarak, süreç eksikliği yanıltıcı olabilir; vatandaşların gelişimi tamamen hızlı hareket etmekten ibarettir. Doğrudan üretimde düzenleme yaparsınızhızla uyum sağlayın ve ilerleyin.
Neyse ki bazıları standartlar ortaya çıktı Bu, vatandaş geliştiriciler tarafından oluşturulan az kodlu/kodsuz uygulamalardaki güvenlik açıklarını belgeliyor ve kategorilere ayırıyor.
Vatandaş Gelişimi için AppSec
İyi haber şu ki, vatandaş gelişiminin kendine özgü zorlukları bizi kalıpların dışında düşünmeye zorluyor. Herhangi bir manuel inceleme veya işlem pencereden uçup gider. İş kullanıcılarının yazılım geliştirmesini engellemek, öyleymiş gibi davransak bile asla gerçek bir seçenek değildir.
Vatandaş geliştiricilere yönelik başarılı bir AppSec programı oluşturmak, otomasyona ve self servise büyük ölçüde güvenmeyi gerektirir. Bir süreç tasarlamamız, uç durumları düşünmemiz ve onu tamamen otomatikleştirmemiz gerekiyor. Örneğin, bir geliştirici bir sorunu düzelttiğini söylediğinde onaylamak için yeniden test yapabilir misiniz? Arttırmanın ve muafiyet istemenin net bir yolu var mı? Hizmet düzeyi anlaşmaları (SLA’lar) karşılanmadığında ne olur? Yazılım geliştirme yaşam döngüsüne ve geliştiricilerle uzun yıllara dayanan çalışmamıza dayanarak, geleneksel AppSec için tüm bu soruların yanıtlarına sahibiz. Yerleşik süreçlerin hiçbiri vatandaş gelişiminde olduğu gibi çalışmasa da profesyonel geliştiricilerden öğrendiklerimizi işe yarayan bir çözüm tasarlamak için kullanabiliriz.
Programınızı oluşturmak için temel bilgilerle başlayın:
-
Envanter. Neye sahip olduğunuzu bilin, ancak bununla yetinmeyin. Sor: Her uygulamanın sahibi kim?
-
Politika. Risk iştahınızı netleştirin. Hangi uygulamalar kabul ettiğiniz kullanım durumlarının dışındadır? Hangisi asla inşa edilmemeliydi?
-
Güvenlik değerlendirmesi ve yeniden test edilmesi. Riskinizi bilin ve bu riskin azaltılıp azaltılmadığını otomatik olarak test edecek bir yönteme sahip olun.
-
Self servis. Açık belgeler sağlayın. Vatandaş geliştiricilerin sorunlar ve bunların nasıl çözüleceği hakkında bilgi alabilecekleri, açıklama veya muafiyet isteyebilecekleri bir self-servis portalı oluşturun.
-
SLA’ları uygulayın. Bir güvenlik açığı SLA kapsamında düzeltilmezse ne olur? Mümkün olduğunda önleyici tedbir alın.
-
Takip edin ve raporlayın. Her şeyi ilerleme konusunda bilgilendirerek idari arka rüzgarları aldığınızdan ve koruduğunuzdan emin olun.
Bu makalenin başında bahsettiğim ekip tüm bu noktaları ve daha fazlasını takip etti. Sürecin en uç noktalarına kadar tasarlanması için zaman harcadılar. Bu onlara kampanyayı “oynatma” ve ortamlarındaki güvenlik riskini büyük ölçüde azaltma konusunda güven verdi.
Bu inanılmaz bir başarı; iki çalışan, üç ay, 70.000 güvenlik açığı, iş kesintisi yok. Bu sonuçlar olağanüstü olabilir ancak işletmenizde de inanılmaz sonuçlar elde edebilirsiniz.