Koddan Buluta Uygulama Güvenliği – Cycode’da Lotem Guy ile Bir Röportaj

   Ağustos 22, 2023  Posted in CyberSecurity-Insiders


Koddan buluta geçiş için yenilikçi bir Uygulama Güvenliği Duruş Yönetimi (ASPM) platformu sağlayan Cycode Ürün Başkan Yardımcısı Lotem Guy ile yakın zamanda yaptığımız bir röportajda, uygulama güvenliğinin hızla gelişen manzarasını tartıştık. Son yıllarda, uygulama güvenliği hızla yalnızca kod güvenliğinin ötesine geçerek modern uygulama güvenliğinin tanımını genişletti.

“Uygulama güvenliği ortamının son birkaç yılda giderek genişlediğini gördüğümüzü düşünüyorum. Artık sadece kod güvenliği ile ilgili değil, bu daha çok tarihsel uygulama güvenliği tanımıdır.” Lotem eklendi. Odak noktası, yalnızca uygulama kodunun güvenliğini sağlamaktan, Lotem’in “koddan buluta” olarak adlandırdığı, kodun kendisinden geliştirme hattına ve bulutta dağıtım ve çalışma zamanına kadar her şeyi kapsayan şeyi benimsemeye kaydı.

Güvenlik Boşlukları ve Modern Saldırıların Yükselişi

Röportajdaki en güçlü noktalardan biri, modern uygulama güvenliğinin ele alınmayan alanları etrafında dönüyor. Kod ve bulut uygulamaları güvenlik çözümleri gelişirken, aradaki alanlar önemli bir boşluk olmaya devam ediyor.

“Ancak aradaki her şey gerçekten kapsam dahilinde değil ve günümüzde modern saldırılar gördüğümüzde, bunlar tam olarak bunu, yani yazılım tedarik zincirinizin kapsam dışı alanlarını hedefliyor.”

“Koddan buluta geçiş” alanları, kodun geliştiriciler tarafından yazılmasından bir bulut ortamında devreye alınmasına ve çalıştırılmasına kadar geçen tüm aşamaları ve süreçleri kapsayan tüm yazılım geliştirme yaşam döngüsünü ifade eder.

İşte bu alanların bir kod ve geliştirme bakış açısından dökümü:

  1. Kaynak Kodu Yönetimi (SCM): Bu, kodun depolandığı, sürümlendirildiği ve yönetildiği havuzları içerir. Yetkisiz erişimi ve kod manipülasyonunu önlemek için bu aşamada kodun güvenli bir şekilde işlenmesi çok önemlidir.
  2. Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD): CI/CD ardışık düzenleri, kodun oluşturulmasını, test edilmesini ve devreye alınmasını otomatikleştirir. Buna derleme otomasyonu, otomatik test etme, yazılımın diğer bölümleriyle entegrasyon ve devreye alma hazırlığı dahildir. Röportajda bahsedilen Solarwinds ve CodeCove saldırıları, bu aşamada inşa sürecini hedef aldı.
  3. Üçüncü Taraf ve Açık Kaynak Kod Entegrasyonu: Modern geliştirme genellikle büyük ölçüde üçüncü taraf kitaplıklara ve açık kaynak bileşenlerine dayanır. Bu bileşenlerdeki güvenlik açıkları güvenlik riskleri getirebilir.
  4. Sırlar Yönetimi: Bu, API anahtarları, belirteçler, parolalar vb. hassas bilgilerin işlenmesi anlamına gelir. Yanlış kullanılırsa (sabit kodlanmış sırlar gibi), bu önemli güvenlik açıkları oluşturabilir.
  5. Konfigürasyon yönetimi: Geliştirme, test ve üretim ortamlarındaki tüm yapılandırmaların tutarlı ve güvenli olmasını sağlamak çok önemlidir. Bu, sunucu yapılandırmalarını, ağ ayarlarını ve erişim denetimlerini içerir.
  6. Konteynerleştirme ve Düzenleme: Birçok modern uygulama kapsayıcıya alınır (Docker gibi teknolojiler kullanılarak) ve düzenlenir (Kubernetes gibi araçlar kullanılarak). Bu aşamadaki yanlış yapılandırma, güvenlik açıklarına yol açabilir.
  7. Bulut Dağıtımı ve Çalışma Zamanı Güvenliği: Buluta dağıtıldıktan sonra, uygulamaların sürekli olarak izlenmesi ve olası çalışma zamanı güvenlik açıklarına karşı güvenceye alınması gerekir. Buna erişim denetimi, şifreleme, izleme ve günlüğe kaydetme dahildir.
  8. Yazılım Kompozisyon Analizi: Potansiyel güvenlik açıklarını belirlemek için üçüncü taraf ve açık kaynak kodu dahil olmak üzere yazılım bileşenlerini analiz etme.
  9. İşbirliği ve Üretkenlik Araçları Entegrasyonu: Röportaj ayrıca, genellikle geliştirme ekipleri arasında işbirliği yapmak ve bilgi paylaşmak için kullanılan Confluence, Slack ve S3 klasörleri gibi araçlarda sırların nasıl yanlış yönetilebileceğine de değindi.

Röportajda vurgulanan zorluklar, kod güvenliği ve bulut güvenliği için farklı çözümler olsa da, geliştirme yaşam döngüsünün bu çeşitli aşamalarını ve yönlerini kapsayan “aradaki” alanların genellikle daha az kapsandığını ve korunduğunu vurguluyor.

Bu alanlar, kötü niyetli aktörlerin hedef alabileceği çok sayıda potansiyel zayıf noktanın bulunduğu geniş ve karmaşık bir manzarayı temsil eder. Cycode’un yaklaşımı, tüm yazılım tedarik zinciri boyunca güvenlik duruşunu yönetmek ve geliştirmek için birleşik bir platform sunarak, bu alanları kapsayan kapsamlı bir çözüm sunarak bu zorlukları ele almayı amaçlamaktadır.

Lotem, Solarwinds ve ColdCove gibi, saldırganların derleme sürecinin güvenli olmayan kısımlarını arka kapıları yerleştirmek için kullandığı ve tüm yazılım tedarik zincirinin güvenliğini sağlama ihtiyacını gösteren iyi bilinen örnekleri gündeme getiriyor.

Sabit Kodlanmış Sırları Ele Alma

Cycode’un bulut tabanlı çalışma alanlarında sabit kodlanmış sırlar sorununu çözme yaklaşımı, yaygın bir güvenlik açığına güçlü bir yanıt olduğunu ortaya koyuyor: “Dolayısıyla, yazılım tedarik zincirinin bu açığa çıkarılmamış alanında, saldırganlar için sırları çalmak ve bunları bir kuruluşun içine girmek için veya yalnızca hizmetlerinin içine girmek için kullanmak – bu bir nevi en kolay ve en hızlı kazanç.”

Doğrudan kaynak koduna gömülü parolalar ve API anahtarları gibi sabit kodlanmış sırlar, saldırılara karşı güvenlik açığı, yönetim karmaşıklığı ve uyumluluk sorunları dahil olmak üzere önemli güvenlik riskleri sunar. Lotem, gizli yönetim araçları, algılama için otomatik tarama, geliştirme ve güvenlik ekipleri arasında işbirliği ve eğitim ve bazı durumlarda şifreleme yoluyla sabit kodlanmış sırlardan kaçınmanın önemini vurguladı. Bu önlemler, güvenliği geliştirme döngüsünün erken aşamalarında entegre etmeye yönelik daha geniş bir değişimle uyumlu hale gelir ve bu yaygın ancak kritik güvenlik açığıyla ilişkili riskleri azaltır.

Confluence, AWS S3 klasörleri ve Azure ile entegrasyon da dahil olmak üzere Cycode’un genişletilmiş algılama yetenekleri, bu gizli riskleri belirleyip düzeltmeye yönelik proaktif bir önlemi temsil eder.

Cycode’un Birleşik Platformu ve İstemci Etkisi

Lotem ayrıca Cycode’un ASPM (uygulama güvenliği duruş yönetimi) platformunu öne çıkararak geniş yeteneklerini sergiliyor. Cycode, kod güvenliği ve yazılım bileşimi analizinden CI/CD işlem hattı güvenliği ve bulut güvenliğine kadar çeşitli Yazılım Geliştirme Yaşam Döngüsü Araçları ile entegre olarak sürekli analiz sağlar.

Paylaştığı belirli bir başarı öyküsü, Cycode platformu aracılığıyla risk yönetimine ve iyileştirmeye öncelik verebilen ve geleneksel yaklaşımlara kıyasla önemli ölçüde zaman tasarrufu sağlayan büyük bir kurumsal müşteriyle ilgilidir. Kuruluş, şirket içindeki binlerce kuruluşta yaklaşık 100.000 depoya sahiptir. Bu şirket daha önce, sonuçta başarısız olan uzun vadeli bir geliştirme projesinde mücadele etti. Cycode ile, kod güvenliği için kapsamlı bir duruş yönetim sistemi uygulayarak tüm havuzlardaki güvenlik sorunlarını hızla tarayabildiler ve öncelik sırasına koyabildiler. Entegrasyon erken risk belirleme, hızlı iyileştirme ve birleşik yönetim sağlayarak, değer elde etme sürelerini önemli ölçüde kısalttı ve Cycode’un karmaşık ortamlardaki güvenlik süreçlerini düzene koyma yeteneğini gösterdi.

İşbirliğini ve “Kontrollü Sola Geçişi” Vurgulamak

Lotem tarafından tartışılan ilginç bir kavram da “kontrollü sola kayma”dır. Yazılım geliştirmedeki bu kavram, yazılım geliştirme yaşam döngüsünün başlarında güvenlik uygulamalarının sistematik entegrasyonunu ifade eder. Bu yaklaşım, güvenliği kodlama ve tasarım aşamalarına dahil ederek, güvenlik açıklarını daha erken belirleyip azaltmayı, riskleri ve olası maliyetleri azaltmayı amaçlar. “Kontrollü” yönü, geliştirme ve güvenlik ekipleri arasındaki işbirliğini, sürekli izlemeyi ve uyumluluk gereklilikleriyle uyumu teşvik eden dengeli ve özel bir yaklaşımı vurgular. Bu yöntem, güvenlikten ödün vermeden hızlı bir geliştirme karışımı sağlar ve Cycode’un kod ile bulut güvenliği arasındaki boşluğu doldurma vurgusunun bir parçasıdır.

Sonuç: Lotem’in İlk 3 En İyi Uygulaması

Lotem, röportajı bulut uygulamaları oluşturan kuruluşlar için üç değerli tavsiyeyle sonlandırdı:

  1. Kapsam ve Riskleri Anlama: Lotem, bir kuruluşun kapsamadığı alanları güvenlik açısından anlamanın önemini vurgular. Kuruluşlar, en yüksek riskleri ve saldırganların avantaj sağlayabileceği alanları belirleyerek uygun güvenlik önlemlerini önceliklendirebilir ve uygulayabilir. Amaç, daha önce ihmal edilen veya gözden kaçan alanlar da dahil olmak üzere, geliştirme ortamında kapsamlı koruma sağlamaktır.
  2. Doğru Araçları Seçmek: Bu tavsiye, hem etkili hem de kullanımı kolay güvenlik araçlarının seçilmesi gerektiğini vurgulamaktadır. Her aracın bir işletim maliyeti vardır, bu nedenle yalnızca güvenlik açıklarını kapatan değil, aynı zamanda operasyonel baş ağrısı yaratmayan araçları seçmek çok önemlidir. İdeal olarak, bu araçlar, geliştirme süreci içinde sorunsuz bir entegrasyon sağlayarak diğer operasyonel zorlukları da çözmelidir.
  3. Sola Kaymak ve İşbirliği: Lotem’in son tavsiyesi, uygulama güvenliğinde “sola kaydırma” yaklaşımının öneminin altını çiziyor ve güvenlik ile Ar-Ge veya geliştirme ekipleri arasındaki işbirliği ihtiyacını vurguluyor. Kuruluşlar, güvenlik konularını geliştirme döngüsünün erken aşamalarında entegre ederek ve bunu kontrollü bir şekilde yaparak, riskleri iyileştirmede daha etkili olabilir. Anahtar, hem geliştiricilerin hem de güvenlik uzmanlarının birlikte çalıştığı bir kültürü teşvik etmek ve güvenliğin sonradan akla gelen bir düşünce veya engel olmaktan ziyade geliştirme sürecinin ayrılmaz bir parçası olmasını sağlamaktır.

Lotem Guy tarafından paylaşılan içgörüler, modern uygulama güvenliğini şekillendiren hem boşlukları hem de çözümleri vurguladı. Onun bakış açısı, sabit kodlanmış sırlardan sürekli taramaya ve kontrollü işbirliğinin önemine kadar her şeyi kapsayan Cycode’un bütüncül güvenlik yaklaşımını aydınlatıyor. Uygulama güvenliğinin geleceği, risklerin yalnızca belirlenmediği, aynı zamanda tüm geliştirme yaşam döngüsü boyunca etkili bir şekilde yönetildiği ve düzeltildiği bu entegre yaklaşımda yatmaktadır. Cycode hakkında daha fazla bilgi için https://cycode.com adresini ziyaret edin.

reklam



Source link