Modern teknoloji ortamı tamamen hız ile ilgilidir. Büyük yenilik yarışında, geliştiriciler şimdiye kadar hayal bile edilemeyecek bir oranda uygulamalar oluşturmaya ve güncellemeye zorlandılar. Çıta her zamankinden daha yükseğe çıktıkça ve işletmeler ayak uydurmak veya ilerlemek için mücadele ederken, geliştiricilerin geliştirme döngülerini hızlandırmak için her zamankinden daha hızlı kod oluşturmaları gerekiyor.
“Sol-kayma” güvenlik hareketi bu fenomenden doğdu. İnsan kaynaklarından tasarruf etmek, maliyetleri azaltmak ve geliştirme süresini kısaltmak için kuruluşlar, güvenlik gereksinimlerini geliştirme döngüsüne daha erken dahil etmek için süreçleri benimsedi.
Bu nedenle, shift-sol, güvenlik dünyasında fırtınalar estirdi ve bu anlaşılabilir bir durum. Geliştirmenin ilk aşamalarında güvenlik açıklarını kapatmak yapmak değerli zamandan, kaynaklardan ve paradan tasarruf edin.
Ama bir yakalama var.
Shift-sol, yeni ve gelişmekte olan teknolojiler için en fazla değeri sağlar. Yeni teknoloji uygulanmadan önce, geliştiriciler ve işverenleri, teknoloji geliştirme süreci için güvenlik yönergelerini ve parametrelerini kolayca oluşturabilir. Yeni teknolojiler henüz çalışan altyapıya dahil edilmediğinden, herhangi bir güvenlik özelliğinin güçlendirilmesine gerek yoktur.
Ancak, sorunun özü şu ki, sola kayma sadece geliştirme aşamasındaki güvenlik açıklarını belirler. Shift-sol yetenekleri, ortamınızda halihazırda çalışmakta olanları koruyamaz. Halihazırda bir ortamda çalışan her şey korumasız bırakılır. Jettisoning çalışma zamanı izleme ve sola kaydırma taktikleri için koruma yetenekleri, mevcut çalışan varlıkları açıkta bırakacaktır.
Bu özellikle uygulama programlama arayüzleri (API’ler) için geçerlidir. API’ler, birden fazla platform arasında anında veri alışverişine izin verir ve kullanımları, dijital hizmetlerin ve çevrimiçi uygulamaların çarpıcı artışıyla birlikte fırlamıştır. Günümüzün API güdümlü ekonomisinde, şirketler genellikle yüzlerce hatta binlerce API çalıştırıyor ve bunların birçoğunun farkında değiller. Shift-sol, doğası gereği, kuruluşların bu API’leri keşfetmesine yardımcı olmayacaktır.
Ayrıca, API’ler düz kod olmadığından, geliştirme ve test aşamalarında tüm kusurları tespit etmek imkansızdır. API’lerdeki iş mantığı kusurları, yalnızca API’ler ‘uygulandığında’ tanımlanabilir. Bu, kod tabanının dışında güvenlik yetenekleri gerektirir. Kuruluşların API uygulamasının belirli yönlerini, belirgin yanlış yapılandırmaları veya güvenlik açıklarını doğrulamak için güvenlik testi araçlarını kullanmaları yine de faydalıdır – ancak iş mantığına yönelik saldırılar söz konusu olduğunda bunların sınırlamalarını tanımak çok önemlidir.
Shift-left ile ilgili bir diğer sorun, riski yeterince hızlı bir şekilde azaltmamasıdır. Yakın zamanda ders çalışma kuruluşların %62’sinin veri ihlaline yol açabilecek güvenlik açıklarından habersiz kaldığını tespit etti. Daha da kötüsü, aynı çalışma, ihlal mağdurlarının %60’ının yama uygulanmamış ancak bilinen bir güvenlik açığına karşı ihlal edildiğini ortaya koydu. Yüksek önem düzeyine sahip güvenlik açıkları durumunda, rapor, düzeltilmeden önce ortalama 246 günün geçeceğini buldu.
Bu aşırı yama sürelerini azaltmak, sağdan başlamayı ve sonra sola kaydırma.
Peki, doğru ile başlamak ne anlama geliyor?
Doğru ile başlamak, çalışma zamanı korumasıyla başlamak anlamına gelir. Çalışma zamanı koruması esasen siber yaralar için bir turnikedir ve güvenlik ekipleri istismar edilmiş olabilecek her türlü güvenlik açığını tespit edip yama yaparken bir kuruluşun verilerini ve sistemlerini korur. Bu, tüm iş yüklerinizin anında bir savunmaya sahip olduğu ve herhangi bir kodla uğraşmadan güvenlik risklerini azalttığı anlamına gelir.
En iyi çalışma zamanı koruma hizmetleri, davranış analizi yaparak ultra hızlı saldırı tespiti ve yanıtı sağlar. Bu, güvenlik ekiplerine ortamlarında “normal” davranışın nasıl göründüğünü göstererek, anormallikleri tespit etmeyi çok daha kolay hale getirerek çalışır.
Çalışma zamanı korumasının sola kaydırma taktiklerini tamamladığını da belirtmekte fayda var. Çalışma zamanı öngörüleri, geliştirme sırasında giderilebilecek güvenlik açıklarını ortaya çıkarır, böylece güvenlik ekipleri, gelecekteki döngüleri bilgilendirmek için verileri geliştirme ekipleriyle paylaşabilir.
Bir bağlam eklemek gerekirse, kötü şöhretli Log4j (Log4Shell) güvenlik açığı, sola kaydırma taktikleri kullanılarak keşfedilmezdi. Durum böyle olsaydı, ortaya çıkacak kaosu ancak hayal edebiliriz. Daha da kötüsü, dünyadaki ilk altı API tehdidi OWASP ilk on API tehdidi liste, sola kaydırmanın işe yaramaz olduğu iş mantığı boşluklarından kaynaklanmaktadır.
Tüm saldırılar, test araçlarıyla ortaya çıkarılamaz; sadece bu şekilde tasarlanmamışlardı. Çalışma zamanı koruması, kuruluşların güvenlik tehditlerini tespit etmesine ve bunlara daha hızlı yanıt vermesine olanak tanır.
Geliştiricileri güvenli kodlamanın önemi konusunda eğitmek ve sorumlu sola kaydırma önlemleri uygulamak değer sağlar ve işletmelerin güvenlik duruşlarını güçlendirme konusunda stratejik düşünmelerine yardımcı olur.
Bununla birlikte, sola kaydırma tek elden bir çözüm değildir – tek başına buna güvenmek, kuruluşları büyük risk altında bırakır.
Nick Rago, Salt Security’de Saha CTO’su