PACE Korsanlıkla Mücadele İş Geliştirme Başkan Yardımcısı Douglas Kinloch
“Sola kayma” ifadesi, BT ve Yazılım güvenliği ile ilgili tartışmalarda hızla ana akım haline geliyor, ancak bu aslında ne anlama geliyor? Çoğuna göre, herhangi bir sistem veya ağ için planlama aşamasında veya yazılım uygulamalarının tasarlanması ve geliştirilmesinde güvenliği daha erken düşünme ilkesidir.
Ama yeterince uzak mı?
Uç nokta güvenliği, uzun yıllardır ağ güvenliğinin en önemli ve en önemli noktası olmuştur ve yine de Log4J ve Tedarik Zinciri saldırılarından, sözde güvenli API’den ödün veren bir saldırı yüzeyi olarak Mobil Uygulamalara kadar sorunlarla karşılaşmaktayız. Satıcılar ve müşterileri için soru basit: IoT devrimi tarafından yönlendirilen milyarlarca uç nokta, hepimiz “Sola Kaydırsak” bile güvence altına alınabilir mi?
Yani, bu mümkün olsaydı şimdiye kadar başarılmış olurdu ve güvenlik danışmanları ve kırmızı ekip üyeleri emekli olabilir miydi?
“Sola Kaydır”, 20 yıl önce “Bitiş Noktası”nın yaptığı gibi, moda bir kelime olma tehlikesiyle karşı karşıya. Yazılım geliştirmede, güvenlik bilincini geleneksel olarak göndermeden önce düşünülen son şeyden, her geliştiricinin anlayabileceği, uygulayabileceği ve buna göre hareket edebileceği bir şeye taşıma fikrinin iyi bir şey olması gerektiği açıktır.
Otomotiv ve Sağlık IoT’sinden Bulut Hizmetlerine ve AI/ML’ye kadar bugün teknoloji alanında gördüğümüz sorunun bir kısmı, her bileşenin kuruluşlar içinde güvenli bir şekilde geliştirildiğine güvenilebileceği varsayımı olmuştur. ve düzinelerce satıcıdan oluşan tedarik zincirleri. Birden fazla Çevik Geliştiricinin (DevOps, ITOps, MLOps, DataOps, ModelOps, AIOps, SecOps, DevSecOps ve kim bilir kaç tane daha “xxxxxOps”) geçit töreninde bir iş süreci olarak kör güvene güvenildiği açıktır.
“Sıfır Güven”, Shift Left ile el ele dolaşabilecek başka bir moda kelimedir, ki bu biraz mantıklıdır, ancak birçoğunun tek bir Zero Trust gümüş kurşun olmadığına işaret etmeye başladığı gibi, bu bir süreçtir. Bir süreç olarak, BT ağlarına, bağlantıya veya yazılıma dayanan herhangi bir sistem tasarımcısının varsayılan ayarı olması gerekir.
Ancak temel mesele, bireysel “uç noktalara” geri döner.
Bu muhabir, Mobil Güvenlik ve Mobil Fintech alanında çalışırken profesyonel bir paranoyak olmakla suçlandı ve suçlama adil. İhtiyacımız olan şeyin, benzer şekilde güvenden yoksun ve tüm pazarlama ve diğer yutturmacalar hakkında şüpheci olmak için çok daha fazla olduğunu söyleyebilirim.
Peki geliştiriciler ve analistler bu zorluğa cevap vermeyi nasıl düşünmeye başlamalı?
- Güvenlik açıklarının ilk etapta oluşturulmaması için güvenli kodlama
- Doğal olarak güvensiz olmayan programlama dilleri kullanın (güvence altına alınamayan platformlarda çalıştırmak için)
- Sonlandırma öncesi uygulamaların güvenlik incelemesi ve kaynak kodu taraması
Ancak, bağlı her 5G IoT cihazının, Tıbbi Cihazın veya Akıllı Telefonun saldırganların erişimine açık olduğunu varsaymamız gerekiyor. Ulaşabilirlerse, cihazda çalışan Uygulamaları anlamaya başlayacaklar ve bunları uygulamanın kendisi için veya daha kötüsü (API’ler aracılığıyla) iletişim kurduğu ağ için bir saldırı yüzeyi olarak kullanacaklar. Bu sorun, Akıllı Telefonlarda App Store’ların basit varlığı ile birçok kez büyütülür – herkes, uygulamaları istenen cihazlara ulaşmadan önce indirebilir.
Derlenmiş uygulamaların güvenliğini sağlamak her zamankinden daha önemli.
Yukarıdaki madde işaretleri oldukça standarttır ve (neyse ki) Sıfır Güven ve Sola Kaydırma konusunda farkındalık arttıkça ana akıma giriyor, ancak eksik olan başka bir süreç var…..
Bazen RASP (Çalışma Zamanı Uygulama Yazılımı Koruması) olarak da bilinen Uygulama Koruması, uygulamayı ve güvenlik açısından hassas herhangi bir kodu koruyabilen bir tekniktir, öyle ki, yukarıdaki üç maddede yapılan iyi işler, Statik kullanan saldırganlar tarafından geri alınamaz ve Tamamen yeni güvenlik açıklarını yeniden ekleyerek uygulamaları anlamak ve tehlikeye atmak için Dinamik Analiz (veya şifre çözme araçları).
Bu koruma, geliştirme aşamasında, DevOps veya DevSecOps gruplarının dahil olması gerekmeden önce veya daha iyisi geliştirme ekibinde görülen bu becerilerle uygulanır.
Derlenmiş uygulama koduna erişileceği ve saldırganların araçlara ve becerilere sahip olduğu varsayımı, güvenlik hesabını tamamen değiştirir.
Zero Trust tam da bu anlama gelir ve kodlarını koruyan geliştiriciler, asıl son noktanın şu olduğunu anlarlar. olumsuzluk cihaz, hatta o cihazdaki uygulama, ancak geliştiricilerin makinesindeki kaynak koddur – daha derlenmeden önce.
Öyleyse, bizim yaptığımız gibi Sola Kaydırmaya karar verdiğinizde, kendinize “ne kadar uzağa?” diye sorun.
yazar hakkında
Doug Kinloch, PACE Anti-Piracy Inc. İş Geliştirmeden Sorumlu Başkan Yardımcısıdır. Doug Kinloch, Avrupa İş Geliştirme Başkan Yardımcısı ve yerel şirketi yöneten ve genel PACE Business ekibinin bir parçası olarak çalışan PACE AP Europe Ltd’nin Direktörüdür. İskoç Teknoloji ve Start-up sahnesinin emektarı olarak, uluslararası ve yerel Kart Programları ve büyük bankalarla ilişkileri yönetmek de dahil olmak üzere Finansal Hizmetler, Dijital Kimlik ve İçerik Korumasına uygulanan yenilikçi Yazılım Güvenliğini pazarlamak için on yıldan fazla bir deneyime sahiptir. .
Doug’a [email protected] adresinden ve şirketimizin web sitesi http://www.paceap.com adresinden çevrimiçi olarak ulaşılabilir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.