CTO ve Rookout’un kurucu ortağı Liran Haimovitch, İsrail hükümeti içinde siber güvenlik alanında kapsamlı bir geçmişe sahip, güvenliğin önemi ve işletmeler üzerindeki etkisi konusunda benzersiz bir bakış açısına sahip.
Bu Help Net Security röportajında, deneyiminin, kuruluşların hata ayıklama süreçlerini kolaylaştırmasına ve BT Operasyonları ile geliştiriciler arasındaki anlaşmazlığı azaltmasına yardımcı olmayı amaçlayan bir girişim olan Rookout’u geliştirme yaklaşımını nasıl etkilediğini keşfedeceğiz. Ayrıca gözlemlenebilirliğin yeni tanıtılan dördüncü sütunu olan Anlık Görüntülere odaklanarak, Liran’ın sola kayma güvenlik hareketi hakkındaki düşüncelerini ve gözlemlenebilirliğin geleceğine ilişkin vizyonunu keşfedeceğiz.
İsrail hükümeti içindeki kapsamlı siber güvenlik geçmişinize dayanarak, bu deneyimin yeni şirketiniz Rookout’u geliştirme yaklaşımınızı nasıl etkilediğini açıklayabilir misiniz?
Siber güvenlik alanı, onlarca yıldır çekirdek alanını ve kullanıcı alan kodunu kullanıyor. Karşılaştırıldığında, İzleme ve Gözlemlenebilirlik alanı, konu mevcut kod tabanlarıyla bütünleşmeye geldiğinde çok daha ürkektir.
Geçmişimiz, uzayda geleneksel araçlardan daha derine inmek ve sonuç olarak çoğu yazılım mühendisinin mümkün gördüğü sınırları aşmak için bize zihniyet ve araç seti sağladı.
2023’te bile, Rookout’un ilk demosunu gören yazılım mühendisleri, neyin mümkün olduğu karşısında genellikle şok oluyor.
Sola kayma güvenlik hareketi hakkında ne düşünüyorsunuz? Kaydedilen ilerleme ve geliştiricilerin daha fazla güvenlik sorumluluğu üstlenme istekliliği konusunda iyimser misiniz, yoksa çoğu kuruluşun hala geliştirme ve güvenlik arasında bir ayrım yaptığına inanıyor musunuz?
Sola kaydırmanın biraz yanlış bir isim olduğunu hissediyorum. Yazılımcıları oldukları yerde bırakıp onlara daha fazla sorumluluk vermek gibi bir durum söz konusu değil. Çoğu durumda, tam tersi olur.
Üretim gerçek dünyadır, gerçeğin tek kaynağıdır. Tam olarak aynı yerde duruyor. Geliştiriciler, diğer paydaşların daha önce hallettiği görevlerin sahipliğini alarak sağa kayıyorlar.
Bu geçişin mükemmel faydaları var ve güvenlik yalnızca bir alandır. Değişiklik ayrıca Gözlemlenebilirliği, kaliteyi ve çok daha fazlasını önemli ölçüde etkiler. Geliştiricilere zorlayabileceğimiz çok fazla ekstra eğitim var. Bunu gerçeğe dönüştürmek için, yeni beceriler edinmelerini istemek yerine mevcut bilgilerine dayanan araçlar sağlamamız gerekiyor.
Rookout’ta bu devrimin bir parçası olmaktan gurur duyuyoruz.
BT Operasyonları ile geliştiriciler arasında ne tür bir sürtüşme var ve Rookout’un yazılımı bunu azaltmaya nasıl yardımcı oluyor?
BT Operasyonları ve geliştiriciler arasındaki sürtüşme, tüm organizasyonel kötülüklerin kökenine, yani resmi ve gayri resmi güçler arasındaki ayrılığa kadar gider. Resmi olarak, IT Ops kendi üretimidir. Neyin nereye gideceğine karar verirler, araçları seçerler ve potansiyel olarak en önemlisi erişimi kontrol ederler. Bunun nedeni, en azından resmi olarak, üretimin mükemmel bir şekilde devam etmesini ve çalışmasını sağlamaktan sorumlu olmalarıdır.
Pratikte IT Ops, geliştiriciler tarafından kendilerine sağlanan araçlar ve eğitim ve birden çok sistemin ince ayrıntılarına dalma konusundaki sınırlı kapasiteleri ile sınırlıdır. Sonuç olarak geliştiriciler, aslında bakım işlerinden üretim sorunlarına kadar çeşitli sorunlarla ilgilenme yetkisine sahip kişilerdir.
Sola kaydırmak, organizasyonu iyileştirmek için kritik işler yapıyor, ancak bunu gerçeğe dönüştürmek için geliştiricilerin üretim araçları ve erişim konusunda daha önemli söz sahibi olmaları gerekiyor.
Rookout’un yazılımının, üretim hata ayıklamasındaki karmaşık bir sorunu çözmeye nasıl yardımcı olduğuna dair belirli bir örneği açıklayabilir misiniz?
En sevdiğim müşterilerimden biri, halka açık bir şirket, altı aydan fazla bir süredir belirli bir hatayı takip ediyor. Hata, kullanıcılarının küçük ama önemli bir alt kümesinin uygulamalarından birinde oturum açamamasıyla ilgiliydi. Bu kullanıcılar için, kullanıcı adlarını ve şifrelerini girdikten sonra, tarayıcı bir dizi yönlendirmeye gitti ve sonunda net olmayan bir hata sayfasıyla sonuçlandı.
Ofislerine uğradık ve Rookout on beş dakika içinde üretim ortamlarına yerleştirildi. Koda girdik ve bu kullanıcılardan birinin oturum açma akışına dalmak için anlık görüntüler almaya başladık.
Daha fazla anlık görüntü toplayarak ve tekrar tekrar çoğaltarak süreci hızla tekrarladık. Yaklaşık on dakika ve altı kadar yinelemeden sonra suçluyu bulduk. Girdi temizliği, kimlik sağlayıcıları (IdP) tarafından sağlanan (imzalı) JWT’nin 2.000 bayttan küçük olduğunu ve aksi takdirde kırpıldığını test etti.
Daha sonra, oturum açma işlemi JWT imzasını doğrulayamadığı için, tarayıcıyı başka bir deneme için IdP’ye yeniden yönlendirerek, birden çok denemeden sonra IdP tarafından kesilen sonsuz bir yeniden deneme döngüsüne yol açtı. Ancak hata, altı aydan fazla bir süre boyunca sabit kalmayı nasıl başardı?
İlk olarak, uygulama (yanlışlıkla) IdP’den kullanıcı profilinin belirli, tuhaf bir bölümünü istedi. Oturum açma akışı, yalnızca profilin o bölümünü nispeten büyük bir girdiyle dolduran belirli kullanıcılar için başarısız oldu. Daha da kötüsü, suçluyu bulduğumuzda zararsız bir yorum da bulmuş olmamızdı:
YAPILACAKLAR: Bu asla olmamalı. Bir günlük satırı ekleyin”.
Kısa bir süre önce, ölçümler, günlükler ve izlerin yanı sıra gözlemlenebilirliğin dördüncü ayağı olarak Anlık Görüntüleri tanıttınız. Bu eklemenin arkasındaki mantığı ve Anlık Görüntülerin, özellikle daha güvenli uygulamalar oluştururken geliştiricilere sunacağı belirli avantajları açıklayabilir misiniz?
Geliştiriciler, etkili günlük kaydıyla ilgili iki ana zorlukla karşı karşıyadır – nerede oturum açılacağı ve ne günlüğe kaydedileceği. Rookout’un sunduğu (diğer satıcılar arasında) günlük enjeksiyonu ve canlı günlük kaydı gibi teknikleri nerede kullanmanın zorluğunu karşılayabilirsiniz. Yalnızca günlüğü kullanmanın zorluğunu karşılamak çok daha karmaşıktır.
Zayıf bir günlük satırı ile harika bir günlük satırı arasındaki fark, çalışan uygulamadan değerli bağlamın çıkarılmasıdır. Bu bağlamı güvenli, doğru ve verimli bir şekilde çıkarmak muazzam bir çabadır; çoğu günlük satırı daha iyi olabilirdi. Anlık görüntüler, geliştiricilerin uygulama durumunu olağanüstü performans ve yerleşik güvenlikle doğru ve hızlı bir şekilde yakalamasına olanak tanır.
Hepimizin bildiği gibi, günlük kaydı bir dizi güvenlik ve uyumluluk riski getirir. En iyi bilinen iki örnek, Facebook’un kullanıcı şifrelerini yıllarca düz metin olarak kaydetmesi ve log4shell güvenlik açığıdır. Anlık görüntüler, verilerin yakalanması ve işlenmesi için standart, tasarımı gereği güvenli bir yaklaşım sunarak bu riskleri ortadan kaldırır.
Ayrıca Anlık Görüntüler, mühendislerin güvenlikle ilgili çeşitli soruları hızlı ve doğru bir şekilde yanıtlamak için üçüncü taraf kodu da dahil olmak üzere uygulamayı derinlemesine incelemesine olanak tanır. Belirli bir güvenlik açığı veya işlevsellik saldırganlar tarafından kullanılabilir mi? Aktif olarak istismar ediliyor mu ve nasıl?