Bazı güvenlik programlarının, sistemler ve korudukları veriler için mümkün olan en yüksek düzeyde güvenlik güvencesine sahip olması gerekir. Olabilecekleri kadar mükemmele yakın olmaları gerekir. Buna örnek olarak, çok gizli terörle mücadele faaliyetleri, ilk COVID-19 aşısı gibi paha biçilmez fikri mülkiyet veya bir dakikalık kesinti süresinin milyonlara mal olabileceği beş 9sn (%99,999) veya daha yüksek çalışma süreleri gerektiren sistemler için kanıt yönetimi verilebilir. dolar.
Bununla birlikte, çoğu şirket için “iyi” bir uygulama güvenliği (AppSec) programı yeterli olacaktır. İyi bir program, uygulamalarınızın en yaygın saldırı türlerine karşı güvende olduğu ancak yine de kararlı, iyi finanse edilmiş ve gelişmiş bir saldırgana düşebileceği programdır. Farklılıkları ve şirketinizin ihtiyaçlarını karşılayan bir şeyin nasıl oluşturulacağını tartışalım.
Seçimler Mükemmellik Gerektirir
“Mükemmel” bir AppSec programı için, herhangi bir test tarafından bildirilen her olası güvenlik açığı bir güvenlik uzmanı tarafından araştırılmalıdır. Bu, statik uygulama güvenlik testi (SAST), dinamik uygulama güvenlik testi (DAST) ve diğer otomatik araçların “herhangi bir ve tüm” olasılıkları rapor edecek şekilde ayarlanmış bulgular için güven düzeyi ile çalıştırılması anlamına gelir. Bu, her bir öğeyi çalıştırmak için eğitilmiş ve her uygulamayı kontrol etmesi için haftalar verilmiş bir veya daha fazla güvenlik uzmanının işe alınmasını gerektirir. Aynı zamanda, birden fazla bakış açısı için manuel güvenlik testi ve kod incelemesi yapmak ve hataların gerçekten düzeltildiğini ve süreçte yeni hatalar oluşturmadığını yeniden test etmek için birkaç güvenlik uzmanının işe alınması anlamına gelir. Hem zaman alıcı hem de oldukça pahalı.
Birkaç yıl önce Kuzey Kutbu’nda 32 kilobitlik bir modemde çalışması gereken bir uygulama üzerinde çalıştım. Kanada’daki seçimlerimizin gerçekleşmesini sağlıyor, bu da kesinlikle mükemmel olması gerektiği anlamına geliyordu. Uygulamamızdaki hem güvenlik hem de güvenlikle ilgili olmayan sorunları bulmak için çok sayıda araç ve manuel teknik kullanan birkaç farklı güvenlik uzmanı tuttuk. Stres testi, performans testi, entegrasyon testi ve çok daha fazlasını yaptık. Her sistemin tamamen işlevsel olduğu işlevsel bir geri dönüş ofisi (oy verdiğiniz yer) kurduk ve büyük günden 6 ay önce, sahte güvenlik olaylarının karışıma dahil edildiği 36 günlük sahte bir seçim yaptık. Sonraki 6 ayı her ayrıntıyı tamamlamakla geçirdik. 19 Ekim 2015’te gerçekleşen 52. Genel Seçimde olduğu gibi, muhtemelen fark etmemişsinizdir.
Her şey yolundayken haber makalesi yazmıyorlar. Ayrıca yukarıda paylaştığımdan biraz daha fazla iş koyduk, paylaşma özgürlüğüm yok. Mesele şu ki, mükemmel olmak ucuz değil ve hızlı değil.
İyiyi ‘Yeterince İyi’ Yapmanın 5 Yolu
Bu hikayeyi göz önünde bulundurarak, kuruluşunuzun gerçekten mükemmel? Ya da “iyi” yeterince iyi? Kuruluşunuzun ölçeklenebilir ve uygun maliyetli bir uygulama güvenliği programı oluşturabileceği bazı yollara bakalım. iyi.
1. Otomatikleştirin. Öncelikle, mümkün olduğunda otomasyondan yararlanın. İyi sonuçlar sağlayabilecek birçok ücretsiz ve ücretli güvenlik aracı vardır. İyi dediğimde, rapor ettikleri sonuçların çoğunun gerçek pozitif olduğunu ve yanlış negatiflerin (kaçırılan hatalar) kuruluşunuzun rahat edebileceği bir düzeyde olduğunu kastediyorum. Bazı otomatik araçlar, sonuçlarınız için bir güven düzeyi belirlemenize olanak tanır; programınızın ilk yılında “yüksek” bir güven düzeyiyle başlamak ve ardından ikinci yılda “orta”ya geçmek, yazılım geliştiricilerinin raporladığınız şeye inanmalarını sağlamak ve onları bunaltmamak için iyi bir yoldur.
2. Anti-kalıp eşleştirme SAST’ı kullanın. SAST araçları için, “iyi” sonuçları hedeflediğinizde, sembolik yürütme gerçekleştiren (her olası kod sonucu, olası kusurları ve hataları arama). Orijinal SAST türleri mükemmel bir uygulama oluşturmak için ideal olsa da, yeni nesil SAST’ler daha hızlıdır, daha gerçek pozitifler sağlar ve bazen biraz daha ucuzdur.
3. Teknik gereksinimleri heceleyin. Yeni projelere başlarken, proje ekibinize hem teknik güvenlik gereksinimleri hem de proje yaşam döngüsünün bir parçası olarak katılmalarını beklediğiniz faaliyetler için bir beklenti listesi verin. Her teknoloji türü (Web uygulamaları, API’ler, sunucusuz, kod olarak altyapı, kapsayıcılar vb.) için bir kez bir liste oluşturabilir, ardından bu listeyi geçerli olduğu her yeni proje için yeniden kullanabilirsiniz. Bu aynı zamanda bir proje yöneticisinin, proje ekiplerinin beklenmedik fazla mesaiyle karşılaşmaması için güvenlik etkinliklerinin gerçekleşmesi için zaman planlamasına da olanak tanır.
4. Bir tehdit modeli çalıştırın. Tasarım aşamasında, ürün sahibi, projenin teknik lideri ve AppSec ekibinin bir üyesi ile bir saat ayırın. gerçekleştirin basit tehdit modeli başvurunuzda ve o oturumdaki bazı önerileri uygulayın.
5. İnsanları güvenli kodlama konusunda eğitin. Yazılım geliştiricilerinize güvenli kodlama eğitimi verin. birkaç tane var ücretsiz veya neredeyse ücretsiz kurslar Bunun için şimdi internette ve çalışanlarınızın oluşturmaktan kaçınmasına yardımcı oldukları her hata, tahmin edebileceğinizden daha fazla zaman ve para tasarrufu sağlar.
Bu, güvenli uygulamalar oluşturmak için ölçeklenebilir ve uygun fiyatlı bir program oluşturmanın yollarının yalnızca kısa bir listesi olsa da, bu beş öneri, “iyi” bir yazılım yapmak için mevcut bir programdan başlamak veya mevcut bir programa eklemek için harika bir yer sağlar.