- 10 Ağu 2022
- 168
- 100
Sırlarınınızın nerede olduğunu biliyor musunuz? Değilse, size söyleyebilirim: yalnız değilsiniz.
Küçük veya büyük şirketlerden yüzlerce CISO, STK ve güvenlik lideri de bilmiyor. Kuruluşun boyutu, sertifikalar, araçlar, kişiler ve süreçler ne olursa olsun: Vakaların %99'unda sırlar görünmez.
İlk başta saçma gelebilir: geliştirme yaşam döngüsünde güvenlik düşünüldüğünde sır saklamak ilk akla gelen şeydir. İster bulutta ister şirket içinde olsun, sırlarınızın çok az kişinin erişebileceği sert kapıların arkasında güvenle saklandığını bilirsiniz. Bu sadece bir sağduyu meselesi değildir çünkü aynı zamanda güvenlik denetimleri ve sertifikaları için temel bir uyum gerekliliğidir.
Kuruluşunuzda çalışan geliştiriciler, sırların özel bir özenle ele alınması gerektiğinin farkındadır. İnsan veya makine kimlik bilgilerini doğru şekilde oluşturmak, iletmek ve döndürmek için belirli araçlar ve prosedürler uygulamışlardır.
Yine de sırlarınızın nerede olduğunu biliyor musunuz?
Sırlar sistemlerinizde her yere yayılır ve çoğu kişinin düşündüğünden daha hızlı. Sırlar kopyalanır ve yapılandırma dosyalarına, komut dosyalarına, kaynak koduna veya özel mesajlara fazla düşünülmeden yapıştırılır. Bir düşünün: Bir geliştirici, bir programı hızlı bir şekilde test etmek için bir API anahtarını sabit kodlar ve yanlışlıkla çalışmalarını uzak bir havuza gönderir ve gönderir. Olayın zamanında tespit edilebileceğinden emin misiniz?
Yetersiz denetim ve iyileştirme yetenekleri, sır yönetiminin zor olmasının nedenlerinden bazılarıdır. Ayrıca güvenlik çerçeveleri tarafından en az ele alınanlardır. Yine de, görünmeyen güvenlik açıklarının uzun süre saklı kaldığı bu gri alanlar, savunma katmanlarınızda açık deliklerdir.
Peki, sırlarınız hakkında ne kadar şey bilmiyorsunuz?
Sırlar Yönetimi Olgunluk Modeli#
Sağlam sır yönetimi, kapsamlı bir güvenlik duruşu oluşturmak için biraz düşünmeyi gerektiren çok önemli bir savunma taktiğidir.
Sırların sızma risklerini değerlendirme
Modern sır yönetimi iş akışları oluşturma
Kırılgan alanlarda iyileştirme için bir yol haritası oluşturmak
Bu modelin ele aldığı temel nokta, sır yönetiminin organizasyonun sırları nasıl sakladığı ve dağıttığının çok ötesine geçtiğidir. İnsanları, araçları ve süreçleri hizalaması gerekmeyen, aynı zamanda insan hatasını da hesaba katması gereken bir programdır. Hatalar kaçınılmaz değildir! Bu nedenle, sır saklama ve dağıtmanın yanı sıra tespit ve düzeltme araçları ve politikaları olgunluk modelimizin temel direklerini oluşturur.
Sır yönetimi olgunluk modeli, DevOps yaşam döngüsünün dört saldırı yüzeyini dikkate alır:
Geliştirici ortamları
Kaynak kodu havuzları
CI/CD ardışık düzenleri ve yapıları
Çalışma zamanı ortamları
Küçük veya büyük şirketlerden yüzlerce CISO, STK ve güvenlik lideri de bilmiyor. Kuruluşun boyutu, sertifikalar, araçlar, kişiler ve süreçler ne olursa olsun: Vakaların %99'unda sırlar görünmez.
İlk başta saçma gelebilir: geliştirme yaşam döngüsünde güvenlik düşünüldüğünde sır saklamak ilk akla gelen şeydir. İster bulutta ister şirket içinde olsun, sırlarınızın çok az kişinin erişebileceği sert kapıların arkasında güvenle saklandığını bilirsiniz. Bu sadece bir sağduyu meselesi değildir çünkü aynı zamanda güvenlik denetimleri ve sertifikaları için temel bir uyum gerekliliğidir.
Kuruluşunuzda çalışan geliştiriciler, sırların özel bir özenle ele alınması gerektiğinin farkındadır. İnsan veya makine kimlik bilgilerini doğru şekilde oluşturmak, iletmek ve döndürmek için belirli araçlar ve prosedürler uygulamışlardır.
Yine de sırlarınızın nerede olduğunu biliyor musunuz?
Sırlar sistemlerinizde her yere yayılır ve çoğu kişinin düşündüğünden daha hızlı. Sırlar kopyalanır ve yapılandırma dosyalarına, komut dosyalarına, kaynak koduna veya özel mesajlara fazla düşünülmeden yapıştırılır. Bir düşünün: Bir geliştirici, bir programı hızlı bir şekilde test etmek için bir API anahtarını sabit kodlar ve yanlışlıkla çalışmalarını uzak bir havuza gönderir ve gönderir. Olayın zamanında tespit edilebileceğinden emin misiniz?
Yetersiz denetim ve iyileştirme yetenekleri, sır yönetiminin zor olmasının nedenlerinden bazılarıdır. Ayrıca güvenlik çerçeveleri tarafından en az ele alınanlardır. Yine de, görünmeyen güvenlik açıklarının uzun süre saklı kaldığı bu gri alanlar, savunma katmanlarınızda açık deliklerdir.
Peki, sırlarınız hakkında ne kadar şey bilmiyorsunuz?
Sırlar Yönetimi Olgunluk Modeli#
Sağlam sır yönetimi, kapsamlı bir güvenlik duruşu oluşturmak için biraz düşünmeyi gerektiren çok önemli bir savunma taktiğidir.
Sırların sızma risklerini değerlendirme
Modern sır yönetimi iş akışları oluşturma
Kırılgan alanlarda iyileştirme için bir yol haritası oluşturmak
Bu modelin ele aldığı temel nokta, sır yönetiminin organizasyonun sırları nasıl sakladığı ve dağıttığının çok ötesine geçtiğidir. İnsanları, araçları ve süreçleri hizalaması gerekmeyen, aynı zamanda insan hatasını da hesaba katması gereken bir programdır. Hatalar kaçınılmaz değildir! Bu nedenle, sır saklama ve dağıtmanın yanı sıra tespit ve düzeltme araçları ve politikaları olgunluk modelimizin temel direklerini oluşturur.
Sır yönetimi olgunluk modeli, DevOps yaşam döngüsünün dört saldırı yüzeyini dikkate alır:
Geliştirici ortamları
Kaynak kodu havuzları
CI/CD ardışık düzenleri ve yapıları
Çalışma zamanı ortamları