Tehdit modelleme, yazılım ve uygulamaları güvenceye almanın oldukça etkili bir yoludur, ancak bunu gerçekten çok az kuruluş yapar. Ancak günümüzün bilgi işlem ve güvenlik ortamında, tehdit modelleme her zamankinden daha gerekli.
Bulut tabanlı dağıtılmış sistemler ve işlevler arası, çevik yazılım geliştirme ekipleri, silolara ayrılmış ekipler tarafından oluşturulan ve işletilen yekpare sistemlerin yerini aldı. Bu arada yazılım çok daha karmaşık hale geldi ve tehditler de öyle. Tehdit aktörleri, geleneksel algılama araçlarını aşmak için taktiklerini değiştirdi. Örneğin, çoğu saldırı artık kötü amaçlı yazılım sağlamaz, bunun yerine kimlik bilgilerinin ele geçirilmesine odaklanır. Saldırganlar harekete geçmeden önce şirket ağlarında aylarca oturabilir. IBM'in “Veri İhlal Raporunun MaliyetiKuruluşların bir ihlali tespit edip kontrol altına almasının ortalama 287 gün sürdüğünü tespit etti.
Şirketler ihtiyacın farkındadır. A 2021 Güvenlik Pusulası çalışması orta ölçekli ve büyük işletmelerin %79'unun tehdit modellemeyi bir öncelik olarak gördüğünü, ancak yalnızca %25'inin modellemeyi erken tasarım aşamalarında gerçekleştirdiğini buldu. Ve yalnızca %10'u geliştirdikleri uygulamaların %90'ında tehdit modellemesi gerçekleştiriyor.
Bir endüstri olarak, tehdit modellemeyi yazılım geliştirmede standart bir uygulama haline getirmemiz, hem geliştirme hem de güvenlik ekiplerinin birlikte çalışabileceği bir şekilde uygulamaya koymamız ve zaman içinde olumlu sonuçlar ve gelişme gösterecek şekilde uygulamamız gerekiyor. Ve her şey, BT operasyonlarında ve güvenlik çevrelerinde pek duymayabileceğiniz bir kelimeyle başlar: empati.
Kültürel Değişim
Güvenlik ve geliştirme ekipleri arasındaki iletişim eksikliği ve ilk çabalar karışık hale gelirse ve işe yaramazsa tehdit modellemeden vazgeçme eğilimi dahil olmak üzere, tehdit modellemenin değerini görmekle bunu gerçekten yapmak arasındaki kopukluğun birkaç nedeni vardır. istenen sonuçları üretin.
Çoğu zaman, güvenlik ekipleri, güvenlik kontrollerini, geliştiricilere ne yapmaları gerektiğini söyleme meselesi olarak, kendileriyle geliştirme ekipleri arasında tek yönlü bir yol olarak görebilirler. Ama bu yanlış ayakla başlıyor. Kuruluşların, her ekibin diğerinin öğrenebileceği becerilere sahip olduğunu kabul etmesi gerekir. Ne de olsa, geliştirici alanına bir güvenlik uzmanı koyarsanız, bunlar kaybolur.
Bu zihniyeti değiştirmek, kültürel bir değişim gerektirir ve bu, empatiyi bir değer önermesi olarak görmekle başlar. Bunun insan tarafının ön plana çıkması ve bilgimizi zenginleştirmeye daha fazla insanın dahil olması gerekiyor. Güvenlik ekiplerinin yapması gereken geliştiricilerin çalıştığı ortamı takdir edin, hızla yazılım geliştirme ve sunma baskısı altında. Geliştirme ekipleri, güvenlik ekiplerinin kapsayıcılar gibi çerçeveleri ve erişimin nasıl kontrol edileceğini, güvenlik ilkelerine uygulanabilecek bilgileri anlamalarına yardımcı olabilir.
Ekipler ileri geri iş birliği yaptıklarında, birbirlerinden öğreniyorlar. O noktaya gelmek zaman alacak. Toplantılarda veya bir süreç entegrasyonunda başlayabilir, belki biraz deneme yanılma yoluyla çalışabilir ve sonunda araç entegrasyonuna geçebilir. Herkesin birbirinin etki alanı hakkında temel bir anlayışa sahip olduğu olgunluk düzeyine ulaştıklarında, bilgi tabanlarını modellemek ve birlikte eşlenen kavramların grafiklerini oluşturmak gibi daha gelişmiş tehdit modelleme seviyelerine geçebilirler.
Ancak istikrarlı bir sürece ihtiyacı var, yoksa pahalı ve kaotik bir hal alıyor ve karmaşık insan sorunlarına yol açıyor.
Daha İyi Tehdit Modellemesi için 3 Adım
İşbirlikçi bir atmosfer yaratmanın üç temel unsuru vardır.
Koçluk: Bu, geliştiricilerin tehdit modellemenin önemini anlamasına yardımcı olur. Yeni çalışanların işe alınmasıyla başlayabilir. Geçmişleri ve sertifikaları ne olursa olsun, şirketinizde güvenliğin nasıl ele alındığını bildiklerini varsaymayın. Kültürü anladığından emin olun.
İşbirliği: İşbirliği ve ortak çalışma kültürü, bir şirketin liderliğiyle, bir CISO'nun ekiplere hizmet etmeyi isteme tavrıyla başlar. Zaman alabilir, ancak liderlik düzeyinde modellenmelidir.
Bütünleşme: Devam eden bir süreç olan entegrasyonlar üzerinde çalışarak işbirliğinin unsurları bir araya gelir. Amaç mükemmellik değil, zaman içinde gelişmek ve gelişmek.
Bu yaklaşımın işe yaramasını sağlamanın anahtarı, özellikle sonuçlara bakarak metrikleri uygulamakBireylerin nasıl çalıştığına ilişkin ayrıntıları derecelendirmeye çalışmanın aksine, "güvenlik açıklarını azaltmak" gibi. Sonuçlar bir geliştirici veya güvenlik meselesi değildir, herkesin meselesidir.
Deneyimlerime göre, her aşamada beklenen sonucu açıklayan net 30, 60 ve 90 günlük planlara sahip olmanın yararlı olduğunu gördüm. Planlar kademeli büyüme göstermeli ve işbirliği içinde yapılmalıdır. Bu sonuçlar ölçülmeliyse, yoksa amaçsızca sürüklenirsiniz.
Empati Anahtardır
Bir güvenlik topluluğu olarak, bizim sorumluluğumuzdur. geliştiricilerin tehdit modellemeyi benimsemesine yardımcı olun. Biz onlara karşı değiliz. Zaman içinde gelişen entegre bir yaklaşımın parçası olarak güvenlik ve tehdit modelleme hakkında düşünmelerini sağlamamız gerekiyor.
Bir yönetim tekniği olarak empati, bu ortamın yaratılmasına yardımcı olabilir. Bazı insanlar empatinin hesap vermemek anlamına geldiğini düşünebilir - birinin konumunu ve düşüncelerini anlamanın bir şekilde yumuşak olduğunu - ama aslında tam tersi bir sonuç doğurur. Umutsuzca ihtiyaç duyduğumuz işbirliğini geliştirir.
