Basit Tehdit Modellemesini Kullanarak Hızlı Güvenli Geliştirme

Yoğun yazılım şirketlerinde her zaman yeni gelişmeler olur. Peki güvenli gelişim de oluyor mu?

Hafif tehdit modelleme (LTM) adı verilen bir süreç, paydaşları güvenli geliştirme sürecine dahil ederek güvenliğin sabitlenmesini değil, yerleşik hale gelmesini sağlar. LTM nedir ve geleneksel tehdit modellemeden farkı nedir?

Lite Tehdit Modelleme Yaklaşımı

LTM, bir sistem veya uygulamadaki potansiyel güvenlik tehditlerini ve güvenlik açıklarını belirlemek, değerlendirmek ve azaltmak için geliştirilmiş bir yaklaşımdır. Basitleştirilmiş bir versiyonudur geleneksel tehdit modellemeGenellikle güvenlik risklerinin daha kapsamlı ve ayrıntılı bir analizini içerir.

LTM ile, kalem testinde yaptığımız gibi, kırılıp kırılmadığını görmek için sisteme veya uygulamaya manuel olarak pin yapıştırmıyoruz. Bunun yerine, uygulamada "teorik delikler" açarak olası saldırı yollarını ve güvenlik açıklarını ortaya çıkarıyoruz.

İşte sormayı düşünebileceğiniz bazı sorular:

• Kim sistemlerimize saldırmak ister ki?
• Sistemin hangi bileşenlerine saldırılabilir ve nasıl?
• Birisi içeri girerse olabilecek en kötü şey nedir?
• Bunun şirketimiz üzerinde ne gibi olumsuz etkileri olur? Müşterilerimizde mi?

LTM'ler ne zaman gerçekleştirilir? 

Yeni bir özellik yayınlandığında, bir güvenlik kontrolü değiştirildiğinde veya mevcut sistem mimarisinde veya altyapısında herhangi bir değişiklik yapıldığında LTM gerçekleştirmek en iyisidir.

İdeal olarak LTM'ler gerçekleştirilir sonra tasarım aşaması ve önce uygulama. Sonuçta, bir güvenlik açığını üretime geçmeden önce düzeltmek çok çok daha kolaydır. LTM'leri kuruluşunuz genelinde ölçeklendirmek için açık ve tutarlı süreçler ve standartlar oluşturduğunuzdan emin olun. Bu, ortak bir dizi tehdit kategorisinin tanımlanmasını, ortak tehdit ve güvenlik açıklarının kaynaklarının belirlenmesini ve risklerin değerlendirilmesi ve azaltılması için standart prosedürler geliştirilmesini içerebilir.

Kuruluşunuzda LTM'ler Nasıl Gerçekleştirilir? 

LTM'leri kendi kuruluşunuzda gerçekleştirmeye başlamak için öncelikle dahili güvenlik ekiplerinizin LTM görüşmelerinizi yönetmesini sağlayın. Mühendislik ekipleriniz sürece daha fazla aşina oldukça kendi tehdit modellerini uygulamaya başlayabilirler.

LTM'leri kuruluşunuz genelinde ölçeklendirmek için açık ve tutarlı süreçler ve standartlar oluşturduğunuzdan emin olun. Bu, ortak bir dizi tehdit kategorisinin tanımlanmasını, ortak tehdit ve güvenlik açıklarının kaynaklarının belirlenmesini ve risklerin değerlendirilmesi ve azaltılması için standart prosedürler geliştirilmesini içerebilir.

Kaçınılması Gereken Yaygın LTM Hataları

Güvenlik çalışanları tehdit modelleme konusunda harikadırlar: Genellikle en kötüsünü beklerler ve son durumları düşünecek kadar yaratıcıdırlar. Ancak bu nitelikler aynı zamanda onların LTM tuzaklarına düşmelerine de yol açıyor:

• Aykırı değerlere çok fazla odaklanmak. Bu, bir LTM alıştırması sırasında, konuşmanın odağının en gerçekçi tehditlerden sapan tehditlere doğru saptığı durumlarda meydana gelir. Bunu çözmek için ekosisteminizi iyice anladığınızdan emin olun. Güvenlik bilgilerinizden ve olay yönetiminizden (SIEM) ve diğer güvenlik izleme sistemlerinizden gelen bilgileri kullanın. Örneğin, uygulama programlama arayüzü (API) uç noktalarınıza 10,000 saldırı gerçekleştiyse, düşmanlarınızın buna odaklandığını bilirsiniz. LTM'nizin de odaklanması gereken şey budur.
• Fazla teknik olmaya başladım. Genellikle teorik bir güvenlik açığı keşfedildiğinde teknik kişiler "sorun çözme moduna" geçer. Sonunda sorunu "çözüyorlar" ve güvenlik açığının kuruluş üzerindeki etkisinden bahsetmek yerine teknik uygulamadan bahsediyorlar. LTM alıştırmalarınız sırasında bunun olduğunu fark ederseniz, konuşmayı geriye çekmeyi deneyin: Ekibe henüz uygulama hakkında konuşmayacağınızı söyleyin. aracılığıyla konuşun risk ve etki İlk.
• Araçların riskleri tek başına ele aldığını varsayarsak. Geliştiriciler sıklıkla araçlarının tüm sorunları bulmasını bekler. Sonuçta gerçek şu ki, bir tehdit modelinin amacı belirli bir güvenlik açığını bulmak değildir. Bunun yerine, mimari düzeyde sistemin genel riskine bakmak amaçlanıyor. Aslında güvensiz tasarım OWASP'ın en yeni sorunlarından biriydi. En Önemli 10 Web Uygulaması Güvenlik Riski. Mimari düzeyde tehdit modellerine ihtiyacınız var çünkü mimari güvenlik sorunları düzeltilmesi en zor konulardır.
• Potansiyel tehditleri ve güvenlik açıklarını gözden geçirmek. Tehdit modelleme tek seferlik bir çalışma değildir. Sürekli değişen saldırı vektörlerinin ve tehdit aktörlerinin bir adım önünde olmak için potansiyel tehditleri ve güvenlik açıklarını düzenli olarak yeniden değerlendirmek önemlidir.
• Üst düzey uygulama stratejilerinin gözden geçirilmemesi. Potansiyel tehditler ve güvenlik açıkları belirlendikten sonra bunları azaltmak veya ortadan kaldırmak için etkili karşı önlemlerin uygulanması önemlidir. Bu, girdi doğrulama, erişim kontrolü veya şifreleme gibi teknik kontrollerin yanı sıra çalışanların eğitimi veya idari politikalar gibi teknik olmayan kontrollerin uygulanmasını da içerebilir.

Sonuç

LTM, potansiyel güvenlik tehditlerini ve güvenlik açıklarını belirlemek, değerlendirmek ve azaltmak için geliştirilmiş bir yaklaşımdır. Son derece geliştirici dostudur ve güvenli kodların taşınmasını sağlar Tehdit modellemeyi erkenden yapmak Yazılım geliştirme yaşam döngüsünde (SDLC). Daha da iyisi, tehdit modellemeyi laboratuvarlara güvenmek yerine, bir LTM yazılım geliştiricileri ve mimarların kendileri tarafından yapılabilir.

Kuruluşlar, LTM'leri tutarlı ve etkili bir şekilde geliştirip uygulayarak, en kritik güvenlik risklerini hızlı ve etkili bir şekilde tanımlayıp ele alabilir, aynı zamanda yaygın tuzaklardan ve hatalardan kaçınabilir.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling