Yorum
Mükemmel bir fırtına: Bir veri ihlalinin maliyeti artıyor, bilinen siber saldırılar daha sık hale geliyor, güvenlik uzmanlığı yetersizdir ve bağlantılılık talebi – tüm cihazlarda en hassas verileri bile sunmak ve hareket etmek için hareket etmek ve hareket etmek Ağ kenarına kadar – inatçı. Android ve iPhone cihazları arasında metin olan herkesi etkileyen yeni bir örnektir. Tuz tayfun saldırısı. Bu arada, endüstri ve hükümet düzenlemeleri sıkılaşıyor, güvenlik önlemlerinin daha katı kanıtı ve ihlallerin daha hızlı raporlanması, “yanlış yapma” için bahisleri artırıyor.
İçinde En son analizVerizon Business, kuruluşların Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA’lar) bilinen Sömürülen Güvenlik Açıkları (KEV) kataloğunda listelenen kritik güvenlik açıklarının% 50’sini iyileştirmek için ortalama 55 gün sürdüğünü buldu. Ne yazık ki, siber suçlular çok daha hızlı tepki veriyor, CISA KEV’nin kitlesel sömürüsü beş günlük bir medyan içinde internette görünüyor.
Bu nedenle kuruluşlar ve kalkınma ekipleri “hazırlıktan” güvenlik ihlallerinin riskini yönetmeye “gelişmelidir.
Güvenlik açığı risk yönetimi yeni bir kavram değildir, ancak kuruluşların riski iki yoldan biriyle yönetmeye çalıştıklarını fark ediyorum – korkuluklar (proaktif) veya yama (reaktif) kurarak. İkisi de optimal değildir.
Anahtar, bir devsecops yaklaşımını benimsemenin kritik önemini vurgulayarak ikisini dengelemektir. “Devsec” çözümleri, güvenlik kapılarını sürekli entegrasyon ve sürekli teslimat (CI/CD) boru hattına entegre ederek kalan güvenliği değiştirmeye odaklanmıştır. “SECOPS” çözümleri, çalışma zamanı ortamındaki tehditleri tespit etmeye ve yanıtlamaya odaklanmıştır.
İşte her yaklaşımın zorluklarına bir göz atın.
Güvenlik açığı yama yaklaşımı
Yüzünde, yama yeterince basit geliyor: bir yazılım güvenlik açığı ortaya çıktığında, yama. Bununla birlikte, geliştiricilerin ve güvenlik ekiplerinin sorunları hızlı bir şekilde izleyecek, yamaları oluşturacak veya tanımlayacak ve daha sonra bu yamaları test etmek ve uygulamak için kaynaklara sahip olduklarını varsayar – önce Cyberattackers güvenlik açıklarından yararlanabilir.
AI sonunda geliştiricilerin güvenlik açıklarını daha verimli bir şekilde tanımlamasına yardımcı olacaktır, ancak henüz bu noktada değiliz. Şu anda AI ve AI özellikli uygulamalara olan talep sadece kimliği belirsiz güvenlik açıkları potansiyeline katkıda bulunmaktadır. AI kodu oluşturma araçları, kimliği belirsiz kaynaklardan izlemesi zor kod parçacıkları getirme olasılığını arttırır. Bugünün güvenlik açığı tarayıcılarının çoğu kod snippet’leri yerine kod paketlerini tanımlamaya güvenir.
Korkuluklar yaklaşımı
Korkuluklar yaklaşımı, güvenlik açığı yama yaklaşımından daha nüanslıdır, ancak kendi zorlukları ile birlikte gelir.
Yama yaklaşımına odaklanan kuruluşlar daha reaktif bir duruş alırken, korkuluklar yaklaşımı proaktif koruma ve kontrolleri azaltmaya dayanmaktadır. Bunlar şunları içerir:
Saldırı yüzeyinin yığın boyunca azaltılması
Sürekli Sertleştirme ve Uyumluluk Geliştirme için Çalışma
Önerilenler gibi en iyi uygulamaları kullanarak uygulama CI/CD boru hattını güvence altına almak SLSA.dev: provenansın tanımlanması, sertleştirme yapıları, eserleri doğrulama
Üretim sistemlerine konuşlandırılmadan önce uygulamaların üretime hazır güvenliğe sahip olmasını sağlamak için otomatik, politika tabanlı tanıtım ve giriş kontrollerinin uygulanması
Şifreleme gibi veri koruma kontrollerinin uygulanması
Kontrol bölgelerinin kullanımı (ağ ve API güvenlik kontrolleri ile eskrim iletişimi) ve mikrodmentleme
Selinux ve Güvenli Bilgi İşlem Profilleri (SECCOMP) gibi Linux güvenlik çözümlerinin kullanımının yanı sıra kullanıcı ad alanları ve cgroupsv2 gibi kapları güvence altına almaya odaklanan özellikler önceliklendirilmesi
Tüm bu stratejiler oldukça etkilidir; Bununla birlikte, kuruluşların bu ve diğer korkulukları altyapılarına entegre etmeleri genellikle zordur. Mevcut uygulama boru hatlarını sertleştirmek daha da zordur. Güvenlik ve inovasyon arasındaki dengeyi vurgulamak, her taraftan güvenlik artışları artışları ve bir güvenlik ihlalinin etkisi tedarik zincirini yukarı ve aşağı yankılandıkça daha da zorlaşmıştır.
Yazılım Risk Yönetimi için Dengeli Bir Yaklaşım Oluşturma
Birlikte kullanıldığında, yama ve korkuluklar kuruluşların verimli güvenlik açığı yönetimi ile proaktif güvenlik izleme ve yönetimi arasında bir denge kurmasına yardımcı olabilir.
Kuruluşlar, çalışma zamanı ortamında hangi hafifletme kontrollerini de dahil olmak üzere, işleri için temel faktörlere dayalı olarak değerlendirmelidir. Temel metriklere ve zamansal ve çevresel metriklere sahip ortak güvenlik açığı puanlama sistemi, bilinen bir kırılganlığın yarattığı risk seviyesinin bir göstergesini sunarken, bu veriler dağıtılan bir uygulamanın özel bağlamını açıklamaz ve açıklayamaz. Kuruluşların dış pozlama ve hafifletme kontrolleri gibi ek faktörleri hesaba katması gerekir.
Açık kaynak kullanmak yardımcı olabilir, çünkü topluluk yeni keşfedilen güvenlik açıkları ve onlar için nasıl düzeltme alacağı hakkında şeffaflık ve net iletişime kararlıdır. Aslında, açık kaynak kullanımına öncelik vermenin yanı sıra, kuruluşlar ipuçlarını açık kaynak topluluğundan almalı ve tanımlanmış güvenlik açıkları hakkında ayrıntılı bilgi paylaşmak için kendi süreçlerini oluşturmalıdır – aynı zamanda ortaklar ve satıcılarla birlikte, ortaklar ve satıcılarla Sorumlu ifşa.
Sorumlu ifşa ve açık veriler, müşteriler ve topluluklar için kendilerini etkileyebilecek güvenlik açıklarını tam olarak anlamaları ve uygun, bilgilendirilmiş kararlar almak için gerekli verilerin yaygın olarak mevcut olmasını sağlamak için kritiktir.
Yazılım güncellemeleri ve/veya yamalar gibi birden fazla iyileştirme seçeneği sunan ve CI/CD ve çalışma zamanı azaltma dahil olmak üzere uygulama yaşam döngüsünün tüm aşamalarında otomatik korkuluklar, çeşitli ortamlardaki güvenlik açıklarının ele alınmasında esneklik sağlar. Bu unsurları birleştirerek, kuruluşlar tüm BT altyapılarında güvenlik risklerini etkili bir şekilde azaltan kapsamlı bir güvenlik açığı risk yönetimi programı oluşturabilir.