Soru: Güvenlikte sola kaydırmak ne anlama geliyor? Başlamak için hangi adımları atmalıyım?
Valtix’in Kurucu Ortağı ve CTO’su Vishal Jain: Güvenlikte sola kaydırma, koddan daha derine inmelidir.
Güvenlik her zaman sonradan düşünülmüş ve genellikle yalnızca bir güvenlik açığına veya olaya tepki olarak iyileştirilmiştir. Uygulama geliştiricilerinin birçok geç dönem disiplinini devre dışı bırakmasıyla veya devrenin başlarında değiştirmesiyle, güvenlik fayda sağladı. Geliştiriciler artık kodu daha erken test edip tarayarak çok daha güvenli uygulamalar dağıtıyor; proaktif süreçler, bakımı daha az maliyetli ve zaman içinde güvenli hale gelen sağlam uygulamalar oluşturarak riski azaltır.
Ancak, dokunulmaz bir uygulama diye bir şeyin olmadığı sürekli olarak hatırlatılır. Log4j mükemmel bir örnektir. Bir şeye dönüşen her yerde bulunan kodunuz var. önem derecesi 10 güvenlik açığı Güvenli geliştirme uygulamalarında bile birçok kuruluş Log4J güvenlik açığının etkisiyle boğuşuyor. Bu, güvenliği sola kaydırmanın bir başka önemli yönünü vurgular – derinlik.
Dokunulmazlık uygulaması diye bir şeyin olmadığını varsayarsak, o zaman uygulamanın dışında çalışan savunmalara ihtiyaç olduğunu kabul ederiz. Ve bu tür savunmaları yerleştirmenin birçok yolu olsa da (ağ tabanlı, aracı tabanlı vb.), hepsinin ortak bir yanı var – sola kaydırırsak bunları yerleştirmek çok daha kolay ve daha ucuz. Bu bir organizasyon için ne anlama geliyor? Bu kontrolleri, kod olarak kullanan politikaları ve Terraform gibi yapıları dağıtmak anlamına gelir. Başka bir deyişle, uygulamayı planlarken ve oluştururken bu katmanlı savunmaları düşünün, planlayın ve oluşturun; uygulamanız bir süreliğine savunmasız hale geldiğinde (yani, bir sonraki Log4j isabet ettiğinde) karmaşayı atlarsınız.
Bu kontroller kavramsal olarak yeni değildir, ancak çeşitli şekillerde uygulanabilir. Meslekten olmayanların terimleriyle, kiminle konuştuğumuzu, NASIL konuştuğumuzu ve NE hakkında konuştuğumuzu yönetmeliyiz. Başka bir deyişle, bu kontroller (savunmalar) uygulamanın dışında çalışır ve şunlara bakabilir:
- Kim: Kullanıcıların kimliğini ve kimlik doğrulamasını, hangi kuruluşlardan geldiklerini ve trafiğinin hangi ülkelerden geldiğini inceleyen kontroller. Bu erişim kontrolleri daha derine inebilir ve çeşitli segmentasyon şemaları içerebilir.
- Nasıl: Uygulamaya erişen yöntemleri ve protokolleri ve güvenilir/güvenilmez alan türlerini sınırlayan kontroller (örneğin, düzenlemeye tabi olmayan hizmetin, uyumluluktan etkilenen bir uygulamaya veya hizmete erişmesi).
- Ne: İster hassas/gizli bilgiler olsun, ister herhangi bir düzeyde (örneğin ağ, uygulama) bir tehdit veya saldırıyı belirten veriler olsun, konuşmanın içeriğine bakan kontroller.
Kuruluşlar, WAF çözümlerini dağıtarak, uç nokta koruması kurarak ve siber saldırılar için günlükleri izleyerek savunmasız uygulamalara tepki verir. Bu savunma yeteneklerinin zaten olması gerektiği yerde, uygulama savunmasız kalır ve onu güvence altına alan süreçleri iyileştirmek yerine riski yönetmek için zaman harcanır. Kuruluşunuzun uygulamasının güvenliğini sağlamak için ihtiyaç duyduğunuz proaktif güvenlik süreçlerinde kuruluşların ciddi bir sola kayması gerekir.
Pratik tavsiye, uygulama yığınının her katmanındaki güvenliğinizin derinliğini düşünmektir. Güvenliği sola kaydırdıkça, derinlikle daha iyi, daha güvenli bir uygulamaya sahip olacaksınız.