Security as a Code: új tudás az IT-sec területen

A biztonsági szakembereknek már szinte mindenhez érteniük kell, így például a kódoláshoz is. Szerencsére van hasznos segítség okos szoftverek formájában.

Az adatlopással kapcsolatos fenyegetések száma folyamatosan nő, amihez a kiberbűnözők számos különféle támadási módszereket használnak. Továbbá a vállalatok egyre több különböző eszközt és szolgáltatást vesznek igénybe akár saját lokális környezetben vagy éppen a felhőben, ami szintén növeli a kockázatot. Ezért a biztonsági szakembereknek egyre több területhez kell érteniük, hogy minden szempontból a lehető legerősebb védelmet biztosítsák az informatikai rendszerek és az adatok számára. Egy, a Micro Focus által támogatott kutatás szerint ma már arra is nagy szükség van, hogy képesek legyenek kódot írni és olvasni, ezt takarja a Security as a Code megközelítés.

Érteniük és használniuk kell a modern szoftverfejlesztő eszközöket, hiszen csak így tudják gyorsan és hatékonyan felderíteni a biztonsági réseket és kiépíteni a megfelelő védelmet. Be kell csatlakozniuk a szoftverfejlesztési és üzemeltetési folyamatokba és rendszerekbe, hogy automatikusan tudják ellenőrizni és betartatni a biztonsági és megfelelőségi előírásokat. Ráadásul mindezt rövid határidővel kell tenniük, hogy ne csússzon a biztonsági ellenőrzés miatt a szoftverek kiadása, és ne legyen fennakadás a működtetésükben.

A kutatásban részt vevő szervezetek 57 százaléka három vagy annál is több felhőplatformot használ. Ezek mind eltérőek mind a konfigurációs modellek, mind az API-k (alkalmazásprogramozási felületek) és a szolgáltatások terén. Ezért az üzemeltetési és a biztonsági kockázatok is különbözőek, így nehezebb őket átlátni és kezelni. Ugyanakkor a szervezetek mindössze egyharmada automatizálta a felhőkonfigurációk biztonsági kezelését különféle szoftverkódok és platform API-k esetében. A manuális biztonsági ellenőrzéssel viszont lassabb a folyamat, nehezebb nyomon követni, és a hibák esélye is nagyobb. Ezért a vállalatoknak érdemes megvizsgálniuk, milyen lehetőségek és megoldások állnak rendelkezésükre ahhoz, hogy a lehető legtöbb folyamatot automatizáljanak a szoftverek és a szolgáltatások biztonságának fenntartásában.

Az elemzésben arra is kitértek, hogy egyre több szervezet használja ki a felhő, a DevOps megközelítés és az agilis fejlesztési gyakorlatok és eszközök előnyeit, hogy gyorsabban és alacsonyabb költségek mellett gondoskodhasson a változtatásokról és az új funkciókról. Becslések szerint a vállalatok 14 százalékkal gyorsabban adják ki az új szoftvereket, de a biztonsági ellenőrzés és tesztelés nem gyorsult fel ugyanilyen ütemben. Ráadásul a cégek mindössze 44 százaléka vette be a kódolási folyamatok közé a biztonsági tesztelést és ellenőrzést.

Ezért itt is nagy szükség lenne arra, hogy minél több dolog automatizált legyen. Ám a szervezetek mindössze 29 százaléka automatizálta a biztonsági tesztelési folyamatok legalább háromnegyedét, és összesen a válaszadók fele (52%) használ bármiféle automatizációt ezen a területen. Pedig minél több feladatot bíznak okos szoftverekre, annál több idejük marad a szakembereknek más, fontosabb munkákra, és a hibák esélye is csökken. Ezért hasznosnak bizonyulhatnak az olyan megoldások, mint például a Fortify Software Security Center, amelynek segítségével a szervezetek a teljes alkalmazásbiztonsági programjukat automatizálhatják, és minden kapcsolódó folyamatot egy helyen kezelhetnek. Nem csupán a fejlesztésnél, de az üzemeltetés során is folyamatosan ügyelni kell a szoftverek biztonságára. Sajnos itt is nehéz tartani a tempót: a szervezeteknek csupán a fele (51%) gondoskodik egy héten belül a kritikus sebezhetőségek és egyéb kockázatok kiküszöböléséről onnantól kezdve, hogy észlelték azokat. A DevOps és agilis fejlesztési gyakorlatok segítségével, illetve a tesztelés automatizálásával azonban gyorsabban javíthatók a hibák. A Fortify termékcsalád azzal is segíti ezt a folyamatot, hogy nem csupán megkeresi a hibákat automatizált módon, de rangsorolni is tudja őket fontossági sorrend szerint, így a szakemberek azonnal tudják, mely résekkel érdemes azonnal foglalkozni.

+1