Авива ЗакС безопасность детектив сел с Conikee Четан, технический директор ShiftLeft, и спросил его, как его компания помогает другим организациям сохранить свои данные в безопасности.

Детектив безопасности: как вы попали в кибербезопасности и что вы любите о ней?

Четан Conikee: я начал в области кибербезопасности более 20 лет назад, и на протяжении моей карьеры накоплен опыт разработки и проектирования программного обеспечения, в том числе создание веб-распределенной инфраструктуры, персонализация алгоритмов, обработки сложных событий, выявления мошенничества и предотвращения в инвестиционной/банковской розницы доменов.

Я был достаточно удачлив, чтобы быть частью начала основания команды в ряд невероятных стартапов, которые ушли на то, чтобы быть приобретена созданных организаций, и этот процесс то, что сделало меня по-настоящему увлечены индустрии кибербезопасности. Кибербезопасность является одним из самых динамично развивающихся отраслей. Безопасность является проблемой практически для каждой организации, независимо от вертикального, так там постоянные места для эволюции и роста. Внедряются новые технологии, направления атаки развиваются, и хакеры умнее, чем когда-либо. Я люблю строительных решений и помогает организациям решить одну из самых сложных проблем: “как я могу защитить мою организацию?”

СД: почему организациям необходимо узнать о DevSecOps?

ГК: все больше организаций принимают DevOps для преимущества маневренности и скорости, но с этими благами также приходят непреднамеренных последствиях для безопасности.

Во-первых, организации строят свои концепции DevOps трубопроводы должны быть как можно быстрее, что означает, что количество времени, отведенное для безопасности, автоматически уменьшается. Это потому, что безопасность традиционно медленный, ручной процесс, так как организации выпуска программного обеспечения и приложений с повышенной скорость, безопасность отключился от этого процесса, чем когда-либо. Если вы считаете, что организациям версии программ и приложений на еженедельной или ежедневной основе, и этот код становится все более сложным благодаря повышенному зависимость от сторонних зависимостей и открытые библиотеки—это источник невозможно для безопасности, чтобы не отставать.

Nod32 лучше?  Как на флешке запаролить папку

Во-вторых, многие организации принимают децентрализованном подходе к DevOps и безопасности. Технических и DevOps менеджеры делают одну вещь вокруг статического анализа кода программы и уязвимости, в то время как руководители по информационной безопасности и аналитики опасная делают еще в опасный дом моделирование и статистическая обработка инцидентов по информационной безопасности и управления событиями (SIEM). Хотя все эти ведомства работают индивидуально, чтобы гарантировать нарушений не происходит, накопительная подход облегчает для злоумышленников, чтобы эксплуатировать слабые места. Кроме того, как более компьютерные системы построены по модели SaaS, качество программного обеспечения имеет первостепенное значение. Приняв DevSecOps, организации могут более эффективно находить изъяны в безопасности (либо в производство или развертывания) и лучше твердеют программного обеспечения от атак.

СД: как организации могут лучше реализовать DevSecOps в своей стратегии?

СС: когда в большинстве организаций считают, как реализовать DevSecOps, многие по умолчанию для автоматизации, потому что она имеет потенциал, чтобы сделать концепция DevOps быстрой, предсказуемой и надежной. В то время как автоматизация является важнейшим фактором для DevSecOps успеха, обнимая автоматизация ради автоматизации не будет, что движет успех. Например, автоматизация проверки безопасности, что вызывает неточные результаты не лучше, чем тот же ручной, медленнее сканирования, как это было раньше. Даже если процесс запускается сама, безопасности не совершенствуется и DevOps команды будут игнорировать результаты, потому что они ненадежные. Точки установка автоматизированной безопасности в цикл разработки-твердо оповещения и эскалации проблем, в конечном итоге получить нужную информацию уязвимость в правом разработчиков в нужное время.

Это позволяет разработчикам эффективно сократить среднее время на восстановление. Он является основой “левого смещения безопасности”—при вставке безопасности как можно ближе к началу процесса, а возможно—и развитие должно быть целью любой стратегии DevSecOps.

СД: какие инструменты разработчики могут использовать для интеграции и автоматизации безопасности с самого начала без ограничения по скорости?

Nod32 лучше?  Каковы клавиатурных шпионов и способы защиты от них

Чч: возможность автоматизировать безопасности приложений, в то же время быстрый и точный, является жизненно важным для организации’ успех. Это имеет решающее значение для реализации инструментов, которые обладают способностью выявлять и устранять уязвимости в том же темпе, в котором создаются новые приложения. Важно также иметь беспрецедентные скорость сканирования, для обеспечения команды разработчиков могут вставить безопасностью без замедления их производство компакт-ки/.

Имея это в виду, существует лишь несколько решений на рынке, которые подходят под эти требования и бороться с традиционными вопросами статического тестирования безопасности приложений (САСТ), брандмауэры веб-приложений (WAF) в и приложения самозащиты (рашпиль). ShiftLeft набор продуктов, в том числе проверять, защищать и глаза, резко снижают скорость сканирования время, ложных срабатываний, и автоматически создавать правила для каждой версии каждого выпуска, чтобы уменьшить в WAF/рашпиль неточности.

Применяя инструменты, которые понимают, как программного обеспечения и приложений уязвимы в развитии, а также как приложения фактически используется в производстве, разработчики могут получить гораздо более полную картину и автоматизации безопасности станет гораздо более продуктивным.

СД: Каковы некоторые из ключевых задач группы DevOps сегодня сталкиваемся, когда дело доходит до интеграции в процесс развития, и как DevSecOps помогают решить эти проблемы?

КС: часто бывает, что сайт нарушил через уязвимость служит отправной точкой для других крупных терактов, в том числе злоумышленник способность продвигать по сети С доступ к инсайдерской, для повышения привилегий, и в конечном итоге получить доступ к более основным ресурсам, таким как базы данных, совмещенных приложений и многое другое. Другими словами, уязвимость введен в приложения и программного обеспечения в процессе разработки имеют потенциал, чтобы привести к полному поглощению сети, и децентрализованном подходе DevOps и безопасности не помогает снизить эти риски.

DevSecOps устраняет эти проблемы, объединяя различные способности и тактики для создания взаимосвязанной структуры, в том числе:

  • При использовании статических и динамических испытаний с целью обнаружения уязвимостей, важно, что запись-точка выхода Framework имеет жизнь за один цикл запуска. Эта структура сродни безопасности-как кода, так как это автоматически заходя программного обеспечения и определяет форму развития код приложения с точки зрения документооборота и слабые государства. Ее можно заархивировать, системы управления версиями и доступны для создания элементов стоимости. Используя эту структуру, разработчики могут оценивать его по стандартным правилам, чтобы определить негативный или позитивный дрейф.
  • Создание стратегии красной команде нападения для защиты поверхности. Он создает базовые политики для выполнения противоаварийной защитой агент рашпиль для защиты от известных и неизвестных угроз. Во время выполнения агента следит за приближающимся атак, ведущих к фундаментальным изменениям в наблюдаемое поведение, которое, в свою очередь, оказывает обратное влияние на политику расширения.
  • Сокращение доступного времени для злоумышленника, чтобы взломать систему и выполнить произвольный вред путем внедрения программно-определяемых подготовки. Это дает возможность обновления без простоя.
Nod32 лучше?  Как отключить Смарт Скрин

СД: как вы видите развитие кибербезопасности в ближайшие пять лет?

ГК: когда речь идет о будущем применения безопасности, мы будем продолжать видеть безопасности смещается левее с увеличением числа безопасности и контролирует его соблюдение становится внедренные ранее в жизненный цикл DevOps. Там также будет больше разговоров и внимания по обеспечению безопасности трубопровода DevSecOps само по себе как важный поверхностью риска. Наибольшие возможности я вижу, однако, заключается в успешной реализации DevSecOps с пониженным трением безопасности и, следовательно, выступает в качестве катализатора для инноваций в существующие средства безопасности, что позволит им создавать более точной и актуальной понимания или действия.

В конечном итоге, в попытке решить эти проблемы, в ближайшие пять лет, я ожидаю, что мы увидим больше приложений безопасности, так что продукты могут легко работать вместе и обмениваться данными на всех этапах жизненного цикла разработки программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *