Stephen de Vries, IriusRisk’in Kurucu Ortağı ve CEO’su
Uygulama güvenliği dünyası, güvenlik ve geliştirme ekipleri arasındaki sürtüşmeyle tanınır. Ancak bu gerilim, geliştiricileri ve güvenlik mimarlarını bir araya getirecek bir geliştirme güvenliği stratejisiyle ortadan kaldırılabilir: tehdit modelleme.
Çok geç olmadan koruma
Tehdit modelleme, sistemin tasarımındaki zayıflıkları ve güvenlik açıklarını tespit etmek ve güvenli olmayan tasarımı azaltmak için planlama yapmak için bir sistem sonlandırılmadan veya hatta inşa edilmeden önce güvenlik analizi yapma eylemidir. Yolun ortasındayken arabaları kontrol etmek yerine karşıdan karşıya geçmeden önce sokağın sağına ve soluna bakmaktır – tehdit aramanın bir an önce yapılması daha iyidir.
Tehdit modelleme, geleneksel olarak bir beyaz tahta kullanılarak manuel olarak yapılabilir ve güvenlik uzmanlarının ürün ekibine güvenliği artırmak için hangi uygulamalardan kaçınılması veya benimsenmesi gerektiğini gösterdiği bir atölye olarak çalışır. Ayrıca, süreci ekipler ve kullanıcılar arasında geniş ölçekte çalıştıran entegre araçlar aracılığıyla da yapılabilir. Tehdit modellemeyi otomatikleştirmek, geliştiricilerin geliştirme süreci sırasında güvenlik açıklarından haberdar edileceği anlamına gelir, böylece ürün tamamen geliştirildiğinde geriye dönük olarak değil, değişiklikler hemen yapılabilir.
Tehdit modelleme mükemmel bir mühendislik uygulamasıdır, çünkü kuruluşların güvenliği soldan başlatmasına, tasarımdan güvenli bir ürün oluşturmasına ve böylece fikir aşamasından lansmana kadar olan süreci çok daha sorunsuz hale getirmesine olanak tanır. Geliştiriciler her zaman güvenlik uzmanı değildir, dolayısıyla bunu yaparak, tasarım aşamasında düzenli olarak ortaya çıkan ve bir kuruluş içindeki güvenlik kültürü üzerinde olumlu bir etkisi olan bazı zayıflıkları aramayı öğrenebilirler.
Tehdit modellemeyi ürün geliştirme süreçlerine entegre eden işletmeler, daha kaliteli yazılımlar elde etme ve maliyetleri düşürme potansiyeline sahiptir: özellikle birkaç yıldır üretimde olan bitmiş yazılımları onarmak pahalıdır. Tehdit modelleme, üstlenmek istemeyebileceğiniz teknik borçları belirlemenin yanı sıra riski belirlemenin bir yoludur.
İş avantajları: İşbirliği ve takım halinde öğrenme
Avantajlar daha belirgin hale geldikçe, giderek artan sayıda şirket, bir yazılım geliştirme uygulaması olarak tehdit modellemeyi benimsiyor. Bu, özellikle hızlı büyüyen ve güvenli bir ürün oluşturmanın en büyük önceliği olan işletmeler için önemlidir: Şirketler, oluşturmak için bu kadar çok zaman ve emek harcadıkları güvenli kültürü kaybetmek istemezler.
Bir uygulama olarak tehdit modelleme, aynı zamanda geliştirme ve güvenlik ekiplerini bir araya getirerek kolay işbirliğine olanak tanır. Bu tür bir işbirliği, güvenlik ekiplerinin testten sonra ürünleri piyasaya sürmek için bir darboğaz görevi görmesinin aksine, siber ekipler için olduğu kadar ürün mühendislerinin kendileri için de büyük avantajlara sahiptir. Güvenlik ekipleri, yazılan her kod parçasına tutarlı bir şekilde bakamaz; bu nedenle, geliştirme ekibini güçlendirmek, güvenlik uygulamalarını ölçeklendirmek için çok önemlidir. Tehdit modelleme, esasen hızlı büyüme yolculuğunda olan şirketlerin güvenlik uygulamalarını olduğu gibi büyütmelerine ve ürünlerinin tasarım gereği güvenli kalmasını sağlamalarına olanak tanır.
Öğrenme, tehdit modelleme yoluyla işbirliğinin büyük bir yönüdür ve bunu müşterilerimizde çok net bir şekilde görüyoruz. Geliştiricilerin güvenlik şampiyonları olması beklenmiyor, ancak güvenlik ekibinin geriye dönük olarak neyin işe yarayıp neyin yaramadığını açıklamasının büyük faydaları var. Hata bir kez anlaşıldığında, bundan kaçınılabilir. Bunu, geliştirme sürecindeki düzinelerce hatta yüzlerce yaygın güvenlik hatasıyla çarpın ve bir işletme, bu değişikliklerin daha sonraki bir aşamada keşfedilmesini önleyerek büyük miktarda zaman, para ve kaynak tasarrufu sağlayabilir.
Ancak, burada bir zorlukla karşılaşıyoruz: geliştiriciler her zaman tehdit modellemesi yapmaya yatırım yapmak ve faydalarını görmek istemiyorlar. Geliştiriciler, tehdit modellemesini geliştirme sürecine entegre etmemenin sonuçlarının veya bunu yapmanın faydalarının her zaman farkında değildir. Çözüm, geliştirici ekiplerini en başından güvenlik hakkında düşünmenin ve güvenliği soldan başlatmanın birçok faydasından haberdar etmektir.
Tehdit modelleme için sırada ne var?
Tehdit modelleme, birçok işletmede zaten geliştirme sürecinin bir parçasıdır ve bunun büyüdüğünü ve yaygın bir endüstri uygulaması haline geldiğini görmeye devam edeceğiz. Sistemdeki güvenlik sorunları ve siber saldırılar için tehdit modellemenin ötesinde, bunun çatışma, trolleme, zorbalık ve hatta AI önyargılarını önlemek için uygulandığını göreceğiz. Gelecekte, geliştirme ekiplerine platformun içinde ve dışında kullanıcının güvenliği için aldıkları kararların etkileri hakkında düşünme şansı verecek daha entegre bir güvenlik sürecine sahip olacağız.
Bir şirket büyürken ve teknoloji bir ürün portföyünde geniş ölçekte kullanılırken bile tehdit modellemesinin mümkün olduğunca sorunsuz ve uygulanması kolay hale gelecek şekilde geliştiğini görmeye devam edeceğiz. Gittikçe daha fazla kuruluş, standart geliştirici akışları etrafında çalışan mevcut araç setleriyle tehdit modellemeyi entegre ediyor.
Tehdit modelleme etrafındaki mevcut ivme sadece bir trend değil. Daha fazla işletme tehdit modellemeyi bir uygulama olarak benimsedikçe ve güvenlik ve finansal faydalar daha belirgin hale geldikçe, mühendislik ve güvenlik ekiplerini birbirine yaklaştırarak ve işletmelerin güvenli bir şekilde ölçeklenmesine yardımcı olarak, uygulama ve yazılım geliştirmede ‘olması güzel’ bir zorunluluktan bir zorunluluk haline gelecek. .
yazar hakkında
Stephen de Vries, IriusRisk’in Kurucu Ortağı ve CEO’sudur. Yazılım geliştiricisi, güvenlik duvarı mühendisi, sızma test cihazı ve yazılım güvenliği danışmanı olarak başlayan çok çeşitli bir teknoloji geçmişine sahiptir. Stephen, bilgi güvenliği alanında 20 yılı aşkın deneyime sahiptir; son altı tanesi bir tehdit modelleme platformu oluşturmaya adanmıştır. OWASP Java Projesi’nin kurucu lideriydi ve OWASP ASVS ve Test projelerine katkıda bulundu ve Tehdit Modelleme Manifestosu’na katkıda bulundu.
Stephen’a çevrimiçi olarak @stephendv ve www.iriusrisk.com adresinden ulaşılabilir.