सहानुभूति प्लेटोब्लॉकचैन डेटा इंटेलिजेंस मॉडलिंग के बेहतर खतरे की कुंजी क्यों है। लंबवत खोज। ऐ.

सहानुभूति बेहतर मॉडलिंग की कुंजी क्यों है

टाइम स्टैम्प: 24 अगस्त, 2022 सुबह 10:00 बजे

थ्रेट मॉडलिंग सॉफ्टवेयर और एप्लिकेशन को सुरक्षित करने का एक अत्यधिक प्रभावी साधन है, फिर भी बहुत कम संगठन वास्तव में ऐसा करते हैं। आज के कंप्यूटिंग और सुरक्षा वातावरण में, हालांकि, थ्रेट मॉडलिंग पहले से कहीं अधिक आवश्यक है।

क्लाउड-आधारित वितरित सिस्टम और क्रॉस-फंक्शनल, फुर्तीली सॉफ्टवेयर डेवलपमेंट टीमों ने साइलेड टीमों द्वारा निर्मित और संचालित मोनोलिथिक सिस्टम को बदल दिया है। रास्ते में, सॉफ्टवेयर और अधिक जटिल हो गया है - और इसलिए खतरे भी हैं। पहचान के पारंपरिक साधनों से बचने के लिए खतरे के अभिनेताओं ने रणनीति बदल दी है। कई हमले अब मालवेयर डिलीवर नहीं करते हैं, उदाहरण के लिए, इसके बजाय क्रेडेंशियल समझौता पर ध्यान केंद्रित करते हैं। और हमलावर कार्रवाई करने से पहले महीनों तक कंपनी नेटवर्क के अंदर बैठ सकते हैं। आईबीएम के "डेटा ब्रीच रिपोर्ट की लागत” पाया गया कि संगठनों को उल्लंघन की पहचान करने और उस पर काबू पाने में औसतन 287 दिन लगते हैं।

कंपनियां जरूरत को पहचानती हैं। ए 2021 सुरक्षा कम्पास अध्ययन पाया गया कि मध्यम आकार के 79% और बड़े उद्यम खतरे के प्रतिरूपण को प्राथमिकता के रूप में देखते हैं, लेकिन केवल 25% प्रारंभिक डिजाइन चरणों के दौरान मॉडलिंग करते हैं। और केवल 10% ही अपने द्वारा विकसित किए गए 90% अनुप्रयोगों पर थ्रेट मॉडलिंग करते हैं।

एक उद्योग के रूप में, हमें थ्रेट मॉडलिंग को सॉफ्टवेयर विकास में एक मानक अभ्यास बनाने की आवश्यकता है, इस तरह से पेश किया गया है कि विकास और सुरक्षा दोनों टीमें काम कर सकें, और इस तरह से लागू किया जा सके जो समय के साथ सकारात्मक परिणाम और सुधार दिखाता है। और यह सब एक ऐसे शब्द से शुरू होता है जिसे आपने आईटी ऑप्स और सुरक्षा हलकों में बहुत कुछ नहीं सुना होगा: समानुभूति।

एक सांस्कृतिक परिवर्तन

खतरे के मॉडलिंग में मूल्य देखने और वास्तव में इसे करने के बीच डिस्कनेक्ट के कई कारण हैं, जिसमें सुरक्षा और विकास टीमों के बीच संचार की कमी, और शुरुआती प्रयासों में गड़बड़ी होने पर खतरा मॉडलिंग को छोड़ देने की प्रवृत्ति शामिल है और नहीं वांछित परिणाम उत्पन्न करें।

बहुत बार, सुरक्षा दल सुरक्षा नियंत्रणों को उनके और विकास टीमों के बीच एक तरफ़ा सड़क के रूप में लागू करने पर विचार कर सकते हैं, बस डेवलपर्स को क्या करना है, यह बताने की बात है। लेकिन वह गलत फुट पर शुरू हो रहा है। संगठनों को यह पहचानने की आवश्यकता है कि प्रत्येक टीम के पास कौशल है जिससे दूसरा सीख सकता है। आखिरकार, यदि आप डेवलपर स्पेस में सुरक्षा प्रो डालते हैं, तो वे खो जाएंगे।

इस मानसिकता को बदलने के लिए एक सांस्कृतिक बदलाव की आवश्यकता है, और यह सहानुभूति को मूल्य प्रस्ताव के रूप में देखने से शुरू होता है। इसके मानवीय पक्ष को सबसे आगे आने की जरूरत है, और अधिक लोगों को हमारे ज्ञान को समृद्ध करने में शामिल करना चाहिए। सुरक्षा टीमों को चाहिए डेवलपर्स जिस पर्यावरण में काम करते हैं, उसकी सराहना करें, सॉफ्टवेयर को तेजी से विकसित करने और वितरित करने के दबाव में। देव टीमें सुरक्षा टीमों को कंटेनर जैसे ढांचे को समझने में मदद कर सकती हैं और पहुंच को कैसे नियंत्रित किया जाए, ज्ञान जिसे सुरक्षा नीतियों पर लागू किया जा सकता है।

जब टीमों को आगे और पीछे सहयोग मिलता है, तो वे एक-दूसरे से सीख रहे हैं। उस मुकाम तक पहुंचने में समय लगेगा। यह बैठकों या एक प्रक्रिया एकीकरण में शुरू हो सकता है, शायद थोड़ा परीक्षण और त्रुटि के माध्यम से काम कर रहा है, और अंततः उपकरण एकीकरण में स्थानांतरित हो सकता है। जब वे परिपक्वता के स्तर पर पहुंच जाते हैं, जहां हर किसी को एक-दूसरे के डोमेन की बुनियादी समझ होती है, तो वे थ्रेट मॉडलिंग के अधिक उन्नत स्तरों पर जा सकते हैं, जैसे कि मॉडलिंग नॉलेज बेस और एक साथ मैप करने वाली अवधारणाओं के ग्राफ़ बनाना।

लेकिन इसके लिए एक स्थिर प्रक्रिया की आवश्यकता होती है, या यह महंगा और अराजक हो जाता है, जिसके परिणामस्वरूप लोगों को परेशानी होती है।

बेहतर खतरा मॉडलिंग के लिए 3 कदम

सहयोगी वातावरण बनाने के लिए तीन प्रमुख तत्व हैं।

कोचिंग: यह डेवलपर्स को थ्रेट मॉडलिंग के महत्व को समझने में मदद करता है। इसकी शुरुआत नए कर्मचारियों को ऑनबोर्ड करने से हो सकती है। उनकी पृष्ठभूमि और प्रमाणन के बावजूद, यह मत मानिए कि वे जानते हैं कि आपकी कंपनी में सुरक्षा का प्रबंधन कैसे किया जाता है। सुनिश्चित करें कि वे संस्कृति को समझते हैं।

सहयोग: सहयोग और सहयोग की संस्कृति एक कंपनी के नेतृत्व के साथ शुरू होती है, जिसमें सीआईएसओ में टीमों की सेवा करने की इच्छा होती है। इसमें समय लग सकता है, लेकिन इसे नेतृत्व के स्तर पर तैयार किया जाना चाहिए।

एकीकरण: सहयोग के तत्व एकीकरण पर काम करते हुए एक साथ आते हैं, जो एक सतत प्रक्रिया है। लक्ष्य पूर्णता नहीं है, बल्कि समय के साथ सुधार और विकास करना है।

इस दृष्टिकोण को काम करने की कुंजी है मेट्रिक्स लागू करना, विशेष रूप से परिणामों को देखकर, जैसे कि "कमजोरियों को कम करना" - व्यक्तियों के काम करने के तरीके के विवरण को ग्रेड करने की कोशिश करने के विरोध में। परिणाम कोई डेवलपर या सुरक्षा की बात नहीं है, यह हर किसी की बात है।

मैंने अपने अनुभव में पाया है कि प्रत्येक चरण में अपेक्षित परिणाम का वर्णन करते हुए 30-, 60- और 90-दिन की योजनाओं को स्पष्ट करना उपयोगी है। योजनाओं को वृद्धिशील विकास प्रदर्शित करना चाहिए और सहयोगी रूप से किया जाना चाहिए। यदि इन परिणामों को मापा जाना चाहिए, या आप लक्ष्यहीन रूप से बहते हुए समाप्त हो जाते हैं।

सहानुभूति कुंजी है

एक सुरक्षा समुदाय के रूप में, यह हमारी जिम्मेदारी है डेवलपर्स को थ्रेट मॉडलिंग अपनाने में मदद करें. यह हम बनाम उनका नहीं है। समय के साथ विकसित होने वाले एक एकीकृत दृष्टिकोण के हिस्से के रूप में, हमें उन्हें सुरक्षा और खतरे के प्रतिरूपण के बारे में सोचने के लिए प्रेरित करने की आवश्यकता है।

प्रबंधन तकनीक के रूप में सहानुभूति उस वातावरण को बनाने में मदद कर सकती है। कुछ लोग सोच सकते हैं कि सहानुभूति का मतलब कोई जवाबदेही नहीं है - कि किसी की स्थिति और विचारों को समझना किसी तरह नरम है - लेकिन यह वास्तव में विपरीत परिणाम पैदा करता है। यह उस सहयोग को विकसित करता है जिसकी हमें सख्त जरूरत है।

समय टिकट:

से अधिक डार्क रीडिंग