امنیت ابری و توسعه‌دهندگان کارهایی برای انجام دادن دارند

یک مطالعه اخیر نشان می دهد که شکاف کمتری بین مهارت های توسعه برنامه های کاربردی شرکت ها و احتمال نقض گسترده داده ها وجود دارد.

اگر چیزی وجود دارد که رهبران توسعه ابر را در شب بیدار نگه می دارد، این واقعیت است که خطر یک نقض امنیتی قریب الوقوع بسیار زیاد است. اگر در هر جلسه توسعه سازمانی در اتاق بگردم، مهندسان توسعه‌دهنده، توسعه‌دهندگان ابر و معماران ابری همگی یک رخنه تضعیف‌کننده شرکت را اجتناب‌ناپذیر می‌بینند.

Enterprise Strategy Group اخیراً شناسایی و پاسخ تهدید ابری را تکمیل کرده است پروژه تحقیقاتی با نتایج جالب. اول، آنچه ما قبلاً درک کرده‌ایم: ۸۰% سازمان‌ها مدل devops را اتخاذ کرده‌اند و ۷۵% نرم‌افزارهای جدید را حداقل یک بار در هفته به تولید می‌رسانند. چالش های اصلی شامل نداشتن دید و کنترل کافی در فرآیند توسعه، نرم افزار منتشر شده بدون بررسی های امنیتی، و فرآیندهای امنیتی ناسازگار در تیم های توسعه است. من نگرانی های زنجیره تامین را نیز اضافه می کنم.

حالا، قسمت ترسناک. این نظرسنجی نشان داد که در سال گذشته، ۹۹ درصد سازمان‌ها حملات سایبری مرتبط با برنامه‌ها و زیرساخت‌های میزبانی ابری را تجربه کردند. بسیاری از شما فکر می کنید که در مورد نقض در شرکت خود چیزی نشنیده اید، اما اغلب آنها حتی در داخل شرکت مخفی نگه داشته می شوند.

بردارهای حمله اولیه عبارتند از پیکربندی نادرست (چیزی به درستی پیکربندی نشده است)، آسیب پذیری های نرم افزاری عمومی، و سوء استفاده از حساب های دارای امتیاز. به نظر می رسد این مشکلات آسان برای رفع آنها باشد. با این حال، به دلایلی، آنها بیشتر سیستمیک شده اند. این گزارش به این نکته اشاره می کند، و من اغلب آن را می بینم.

چه کاری باید انجام شود؟

چیزی که بیش از همه مرا جلب می‌کند این است که می‌دانیم چگونه این آسیب‌پذیری‌ها را برطرف کنیم، اما گامی برای این کار برنداشته‌ایم. اکثر CISOهایی که با آنها صحبت می کنم بهانه های زیر را ارائه می دهند.

اول، بودجه ای برای رفع این آسیب پذیری ها به آنها داده نمی شود. در برخی موارد، این درست است. امنیت ابر و توسعه اغلب با کمبود بودجه مواجه هستند. با این حال، در بیشتر موارد، بودجه نسبت به همتایان آنها خوب یا عالی است و مشکلات هنوز وجود دارد.

دوم، آنها نمی توانند استعداد مورد نیاز خود را پیدا کنند. در بیشتر موارد، این نیز قانونی است. من فکر می کنم که ۱۰ موقعیت امنیتی امنیتی و توسعه ای وجود دارد که یک نامزد واجد شرایط را تعقیب می کنند. همانطور که در آخرین پست خود در مورد آن صحبت کردم، باید این مشکل را حل کنیم.

با وجود نیروهایی که به شما فشار می آورند، برخی از اقدامات توصیه شده وجود دارد. CISO ها باید بتوانند معیارهایی را که خطرات را نشان می دهد، ضبط کرده و آنها را به مدیران اجرایی و هیئت مدیره اطلاع دهند. این مکالمات سخت هستند، اما اگر به دنبال این هستید که به عنوان یک تیم اجرایی به این مسائل بپردازید و تأثیر آن را بر شما و تیم های توسعه در زمانی که چیزهایی به طرفداران برخورد می کند کاهش دهید، ضروری هستند. در بسیاری از موارد، سطوح C و هیئت مدیره این را ترفندی برای به دست آوردن بودجه بیشتر می دانند – که باید به آن نیز رسیدگی شود.

اقداماتی که می تواند برخی از این خطرات را از بین ببرد شامل آموزش مداوم امنیتی برای تیم های توسعه نرم افزار است. این اولین خط دفاعی شماست. سپس می توانید نقاط عطف امنیتی واقع بینانه و یک نقشه راه امنیتی ایجاد کنید. همچنین، بد نیست خلاق باشید، مانند ارائه مشوق های مالی برای بهبود امنیت.

بیشتر CISO ها نمی توانند به شما بگویند که طرحی برای بلوغ وضعیت امنیتی آنها چیست و این به یک ضعف اصلی تبدیل می شود. می‌دانم که برنامه‌ریزی سخت است، و امیدوارم در کنفرانس ابری بعدی چیزی به شما برسد، اما این باید فوری، فعال و خاص برای نیازهای شما باشد. اگر روندهای اینجا را دنبال کنید، شکست خواهید خورد.

همه چیز در مورد اتوماسیون است

تلاش‌ها باید روی تسریع برنامه‌نویسان متمرکز شوند. همه باید به یک زبان صحبت کنند، فرهنگ واحدی ایجاد کنند و برای اتوماسیون و یکپارچه سازی ابزارها تلاش کنند. اتوماسیون واقعاً کلید ایجاد فرآیندهای کاهش ریسک امنیتی قابل تکرار است، از بررسی زنجیره‌های تامین کد منبع، بررسی کد برای آسیب‌پذیری‌ها، تا تأیید تنظیماتی که قرار است وارد محصولات شوند. می دانید، devsecops 101.

برای انجام این اتوماسیون، ابتدا باید درک کنیم که امنیت باید بخشی از فرآیند توسعه از مرحله برنامه ریزی به بعد باشد. برای همه چیز، از جمله معماری، طراحی اپلیکیشن، توسعه، آزمایش و استقرار، سیستمیک است. اشتباه اساسی که ما را به دردسر می‌اندازد این است که امنیت را به‌عنوان چیزی که در پایان فرآیند توسعه و استقرار بسته شده است در نظر بگیریم.

در نهایت، هیچ چیزی نباید بدون گذراندن تست‌های امنیتی بسیار خاص که توسط اتوماسیون هدایت می‌شوند به سمت تولید سوق داده شود. امنیت باید کاملاً ساده باشد زیرا ما همه ویژگی‌های توسعه امنیتی و بررسی‌ها را قبل از انتشار کد برای استقرار خودکار کرده‌ایم. انسان‌ها باید کاملاً خودکار شوند، به‌ویژه که ما افراد واجد شرایط کمی در اطراف داریم و به نظر می‌رسد که آنها برخی از مراحل را از دست داده‌اند.

ما می‌توانیم این مورد را برطرف کنیم.