یک مطالعه اخیر نشان می دهد که شکاف کمتری بین مهارت های توسعه برنامه های کاربردی شرکت ها و احتمال نقض گسترده داده ها وجود دارد.
اگر چیزی وجود دارد که رهبران توسعه ابر را در شب بیدار نگه می دارد، این واقعیت است که خطر یک نقض امنیتی قریب الوقوع بسیار زیاد است. اگر در هر جلسه توسعه سازمانی در اتاق بگردم، مهندسان توسعهدهنده، توسعهدهندگان ابر و معماران ابری همگی یک رخنه تضعیفکننده شرکت را اجتنابناپذیر میبینند.
Enterprise Strategy Group اخیراً شناسایی و پاسخ تهدید ابری را تکمیل کرده است پروژه تحقیقاتی با نتایج جالب. اول، آنچه ما قبلاً درک کردهایم: ۸۰% سازمانها مدل devops را اتخاذ کردهاند و ۷۵% نرمافزارهای جدید را حداقل یک بار در هفته به تولید میرسانند. چالش های اصلی شامل نداشتن دید و کنترل کافی در فرآیند توسعه، نرم افزار منتشر شده بدون بررسی های امنیتی، و فرآیندهای امنیتی ناسازگار در تیم های توسعه است. من نگرانی های زنجیره تامین را نیز اضافه می کنم.
حالا، قسمت ترسناک. این نظرسنجی نشان داد که در سال گذشته، ۹۹ درصد سازمانها حملات سایبری مرتبط با برنامهها و زیرساختهای میزبانی ابری را تجربه کردند. بسیاری از شما فکر می کنید که در مورد نقض در شرکت خود چیزی نشنیده اید، اما اغلب آنها حتی در داخل شرکت مخفی نگه داشته می شوند.
بردارهای حمله اولیه عبارتند از پیکربندی نادرست (چیزی به درستی پیکربندی نشده است)، آسیب پذیری های نرم افزاری عمومی، و سوء استفاده از حساب های دارای امتیاز. به نظر می رسد این مشکلات آسان برای رفع آنها باشد. با این حال، به دلایلی، آنها بیشتر سیستمیک شده اند. این گزارش به این نکته اشاره می کند، و من اغلب آن را می بینم.
چه کاری باید انجام شود؟
چیزی که بیش از همه مرا جلب میکند این است که میدانیم چگونه این آسیبپذیریها را برطرف کنیم، اما گامی برای این کار برنداشتهایم. اکثر CISOهایی که با آنها صحبت می کنم بهانه های زیر را ارائه می دهند.
اول، بودجه ای برای رفع این آسیب پذیری ها به آنها داده نمی شود. در برخی موارد، این درست است. امنیت ابر و توسعه اغلب با کمبود بودجه مواجه هستند. با این حال، در بیشتر موارد، بودجه نسبت به همتایان آنها خوب یا عالی است و مشکلات هنوز وجود دارد.
دوم، آنها نمی توانند استعداد مورد نیاز خود را پیدا کنند. در بیشتر موارد، این نیز قانونی است. من فکر می کنم که ۱۰ موقعیت امنیتی امنیتی و توسعه ای وجود دارد که یک نامزد واجد شرایط را تعقیب می کنند. همانطور که در آخرین پست خود در مورد آن صحبت کردم، باید این مشکل را حل کنیم.
با وجود نیروهایی که به شما فشار می آورند، برخی از اقدامات توصیه شده وجود دارد. CISO ها باید بتوانند معیارهایی را که خطرات را نشان می دهد، ضبط کرده و آنها را به مدیران اجرایی و هیئت مدیره اطلاع دهند. این مکالمات سخت هستند، اما اگر به دنبال این هستید که به عنوان یک تیم اجرایی به این مسائل بپردازید و تأثیر آن را بر شما و تیم های توسعه در زمانی که چیزهایی به طرفداران برخورد می کند کاهش دهید، ضروری هستند. در بسیاری از موارد، سطوح C و هیئت مدیره این را ترفندی برای به دست آوردن بودجه بیشتر می دانند – که باید به آن نیز رسیدگی شود.
اقداماتی که می تواند برخی از این خطرات را از بین ببرد شامل آموزش مداوم امنیتی برای تیم های توسعه نرم افزار است. این اولین خط دفاعی شماست. سپس می توانید نقاط عطف امنیتی واقع بینانه و یک نقشه راه امنیتی ایجاد کنید. همچنین، بد نیست خلاق باشید، مانند ارائه مشوق های مالی برای بهبود امنیت.
بیشتر CISO ها نمی توانند به شما بگویند که طرحی برای بلوغ وضعیت امنیتی آنها چیست و این به یک ضعف اصلی تبدیل می شود. میدانم که برنامهریزی سخت است، و امیدوارم در کنفرانس ابری بعدی چیزی به شما برسد، اما این باید فوری، فعال و خاص برای نیازهای شما باشد. اگر روندهای اینجا را دنبال کنید، شکست خواهید خورد.
همه چیز در مورد اتوماسیون است
تلاشها باید روی تسریع برنامهنویسان متمرکز شوند. همه باید به یک زبان صحبت کنند، فرهنگ واحدی ایجاد کنند و برای اتوماسیون و یکپارچه سازی ابزارها تلاش کنند. اتوماسیون واقعاً کلید ایجاد فرآیندهای کاهش ریسک امنیتی قابل تکرار است، از بررسی زنجیرههای تامین کد منبع، بررسی کد برای آسیبپذیریها، تا تأیید تنظیماتی که قرار است وارد محصولات شوند. می دانید، devsecops 101.
برای انجام این اتوماسیون، ابتدا باید درک کنیم که امنیت باید بخشی از فرآیند توسعه از مرحله برنامه ریزی به بعد باشد. برای همه چیز، از جمله معماری، طراحی اپلیکیشن، توسعه، آزمایش و استقرار، سیستمیک است. اشتباه اساسی که ما را به دردسر میاندازد این است که امنیت را بهعنوان چیزی که در پایان فرآیند توسعه و استقرار بسته شده است در نظر بگیریم.
در نهایت، هیچ چیزی نباید بدون گذراندن تستهای امنیتی بسیار خاص که توسط اتوماسیون هدایت میشوند به سمت تولید سوق داده شود. امنیت باید کاملاً ساده باشد زیرا ما همه ویژگیهای توسعه امنیتی و بررسیها را قبل از انتشار کد برای استقرار خودکار کردهایم. انسانها باید کاملاً خودکار شوند، بهویژه که ما افراد واجد شرایط کمی در اطراف داریم و به نظر میرسد که آنها برخی از مراحل را از دست دادهاند.
ما میتوانیم این مورد را برطرف کنیم.
پست های مرتبط
امنیت ابری و توسعهدهندگان کارهایی برای انجام دادن دارند
امنیت ابری و توسعهدهندگان کارهایی برای انجام دادن دارند
امنیت ابری و توسعهدهندگان کارهایی برای انجام دادن دارند