Profesyonel ve devlet destekli bilgisayar korsanlığı grupları, her yıl siber suçlara daha fazla zaman, para ve çaba harcıyor. Tehdit aktörleri, dünyanın en iyi siber güvenlik uzmanlarından bazılarının daha önce hiç görmediği yeni saldırı türlerinde yeni teknikler kullanıyor. Cesaretli ve iyi finanse edilen kötü aktörler artık yalnızca büyük şirketleri değil – ki başarılı bir ihlali oldukça kazançlı olabilir – aynı zamanda daha küçük kuruluşları da hedef alacak kaynaklara sahip. Duke Üniversitesi’nde yakın zamanda yapılan bir araştırma, sektörler genelinde ankete katılan orta ölçekli şirketlerin %85’inin sistemlerine bir noktada başarılı bir şekilde girildiğini bildirdi.
Tehdit aktörlerinin odaklandığı sektörlerden biri de bilgisayar yazılımı geliştirmedir. Kişisel ve profesyonel yaşamlarımızda neredeyse sürekli olarak yazılıma güvendiğimiz için, şirketlerin yazılımlarının güvenli olmasını sağlamaya ve kötü aktörler ile öngörülemeyen tehditlere karşı bir adım önde olmalarına yardımcı olacak süreçlere sahip olmaları çok önemlidir.
SolarWinds’te, çoklu güvenli, yinelenen ve kısa ömürlü ortamlarda yazılım geliştirmek için paralel oluşturma sürecini kullanan Yeni Nesil Yapı Sistemimizle daha güvenli yazılım geliştirme oluşturmaya yardımcı oluyoruz. Tüm sektörü gelecekteki tehditlere karşı korumaya yardımcı olmak için, bu derleme sisteminin bileşenlerini açık kaynak olarak yayınlıyoruz, böylece diğer şirketler oluşturduklarımızdan faydalanabilir.
İşte şirketlerin benimsemeyi düşünebilecekleri Yeni Nesil Yapı Sisteminin dört yol gösterici ilkesi. Kamu-özel işbirliği ve tehditlerle ilgili bilgi paylaşımı ile birleştiğinde, bu ilkeler kuruluşların artan riskler karşısında güvenliği artırmasına yardımcı olabilir.
Kendi Kendini İmha Eden ve Kodla Oluşturulan Sistemler Oluşturun
Yazılım geliştirme sürecini güvence altına almak için kuruluşların, uzun ömürlü ortamlar bırakmayan sistemler uygulaması gerekir. Gelişmiş ortamlar ve derleme sistemleri daha ciddi güvenlik açıkları ve güncel olmayan bileşenler içerebileceğinden, saldırganların saldırı yapması için daha kolay bir fırsat davet ettiğinden bu kritiktir.
Kuruluşlar, kısa vadeli yazılım oluşturma ortamlarında ürünler geliştirerek bu güvenlik açıklarını azaltabilir, bu da her görev tamamlandıktan sonra kendi kendini imha etmeleri anlamına gelir. Bunu yapmak, saldırganların sistemlerde bir “ana üs” kurma fırsatını ortadan kaldırarak, tehdit aktörlerinin saldırı girişiminde bulunmasını önemli ölçüde zorlaştırır.
Koda dayalı derleme sistemine sahip olmak, kısa vadeli kendi kendini yok etme modelini etkinleştirir ve yapı bileşenleri için korumalar ve sürüm oluşturma sağlar.
Kuruluşların yapı sistemlerini izole etmesi, idari olarak ayırması ve yakından izlemesi gerektiğinden, bu geliştirme yöntemi sıkı bir şekilde kontrol edilen bir süreç ve organize liderlik gerektirir.
Tekrarlanabilirlik Anahtardır
Yazılım geliştirme söz konusu olduğunda, yeniden üretilebilirlik, yapı güvenliğini sağlamanın anahtarıdır. Tekrar üretilebilirliğin arkasındaki öncül, bir geliştirme ekibinin yazılımı bir yerde geliştirip başka bir sistemde veya farklı bir zamanda aynı sonuçla yeniden oluşturabilmesidir.
Geliştiriciler, yeniden üretilebilir yapılara güvenerek, yazılımlarının aynı şekilde davranmasını, koddaki eşitsizlikleri ayıklamasını, anormallikleri belirlemesini ve izinsiz girişleri önlemesini sağlayabilir. Yeniden üretilebilir yapılarla, yazılım geliştirme şirketleri hataları daha iyi anlamak ve düzeltmek için yeniden üretebilir ve yapı boru hattındaki yetkisiz ayarlamaları belirleyebilir.
Tekrar üretilebilir bir yapı kritik öneme sahiptir, çünkü aynı zamanda, yapının nerede ve ne zaman oluşturulduğuna bakılmaksızın aynı olmasını sağlamak için yazılım geliştirmenin kaynak kodun son çıktısını karşılaştırmasını sağlar. Bu, sürecin bir sonraki adımı için çok önemlidir: paralel olarak inşa etmek.
Paralel Yapı
Yazılım geliştirme sürecinin bütünlüğünü güçlendirmenin bir başka yolu da “paralel yapı” süreci olarak bilinen süreçtir. Maksimum güvenlik için bu, üç mantıksal yapı boru hattının kullanılmasını gerektirir: geliştirici, hazırlama/doğrulama ve üretim. Tüm yapılar yukarıda açıklanan özellikleri karşılamalıdır.
Geliştirici boru hattı, normal mühendislik yapılarını gerçekleştirir. Çoğu mühendislik için yapı ortamına erişim gereklidir. Hazırlama/doğrulama derlemesinin sınırlı erişimi vardır. Yapıyı gerçekleştirmenin yanı sıra kalite, güvenlik ve performans testlerinin de yapıldığı yerdir.
Nihai boru hattı, üretim boru hattıdır. Bu boru hattına erişim son derece sınırlıdır. Yalnızca önceden tanımlanmış birkaç kişinin erişimi vardır. Üretim işlem hattından sevkıyattan önce, hazırlama işlem hattıyla bir karşılaştırma tamamlanır. Derleme modeli, varsayılan ihlal yaklaşımını benimser; yani güvenliği ihlal edilmiş bir kişi, bir üretim derlemesini bağımsız olarak tehlikeye atamaz.
Bu paralel ortamların her birinin tek bir giriş noktası vardır ve bağımsız ortamlardır, potansiyel tehdide tek bir ortam üzerinde odaklanarak güvenlik açıklarını azaltır. Birinin güvenliği ihlal edilirse, saldırı çabalarının kalan iki ortamda tekrarlanma olasılığı düşüktür.
Adımlarını Geri Al
İzlenebilirlik, güvenli bir derleme süreci sağlamak için kritik olan son ilkedir. Her oluşturma adımını, yazılım piyasaya sürülmeden önce doğrulayabileceğiniz bir izleme süreci aracılığıyla doğrulamak çok önemlidir. Bu, boru hattından geçen her proje için mühendislerin ve yönetimin onayını gerektirir.
Fikir, her adımı dikkatlice izlemek, her kodun eşleştiğini ve düzgün bir şekilde uygulandığını ve hataları veya anormallikleri anlamak için net, izlenebilir bir geçmiş olduğunu doğrulamaktır. Bir üretim sürümünden önce insan doğrulamasının eklenmesi, kalite ve güvenliği sağlamak için tüm uygun adımların atılmasını garanti etmeye yardımcı olur.
Siber güvenlik manzarası sürekli değişiyor. Her gün yeni tehditler ve motive olmuş, iyi finanse edilen kötü aktörler ortaya çıkıyor. Yazılım geliştirme sürecinin güvenliğini artırmak, bu saldırganları engellemenin ve hafifletmenin önemli bir parçasıdır. Sektörü bu ilkeleri benimsemeye, güvenlik konusunda daha açık olmaya ve genel olarak sektörün güvenliğini iyileştirmek için bilgi ve en iyi uygulamaları paylaşmaya teşvik ediyoruz.