[ad_1]

همسو سازی توسعه دهندگان و تیم های امنیتی می تواند به بهبود امنیت کمک کند و در بیشتر موارد بدون افزودن ابزارهای اضافی می توان به این مهم دست یافت.

اعتبار: REDPIXEL از طریق Adobe Stock

اعتبار: REDPIXEL از طریق Adobe Stock

نادیده گرفتن امنیت در صنعت فناوری غیرممکن است. LinkedIn ، Google Ads و هم اکنون حتی اینستاگرام از ابزارهای امنیتی ، روش ها و خدمات مشاوره خود تبلیغ می کنند.

بنابراین ، از آنجا که چنین سروصدایی در اطراف امنیت وجود دارد ، ریشه در عمل یک توسعه دهنده بسیار دشوار است؟ یک مشاور یا فروشنده ممکن است این باور را برای شما ایجاد کند که شما برای هماهنگ کردن توسعه دهندگان و امنیت نیاز به انتقال مقداری پول (یعنی خرید ابزار ، سرویس و غیره) دارید.

با این حال ، راه حل ممکن است همان چیزی باشد که شما می توانید در سازمان خود به دست آورید – بدون افزودن ابزارهای اضافی به پشته خود.

فرهنگ همه چیز است

DevSecOps عالی است و برای ماندگاری اینجاست. ممکن است فکر کنید به همین سادگی Dev + Sec + Ops است اما بیش از این است.

با DevSecOps ، “Sec” باید به عنوان پوسته ای جامع و نه فقط یک م thanلفه دیگر در نظر گرفته شود. (Dev + Ops)بخش دقیق تر خواهد بود DevSecOps موثر باعث افزایش امنیت در هر مرحله از خط لوله ، از ساخت تا استقرار می شود.

راه حل های بالقوه مانند حفاظت در سطح کانتینر یا GitOps یا زیرساخت هایی مانند کد فقط Band-Aid نیستند ، بلکه به تغییر فرهنگ نیاز دارند.

اگر قبلاً یک تیم فنی ساخته اید که از امنیت مراقبت می کند و از خطوط لوله و فرآیندهای داخل و خارج خود آگاه هستید ، پس اجرای DevSecOps به راحتی محافظت را به سمت چپ در گردش کار تغییر می دهد.

سیاست های بالاتر از حد استاندارد

مفهوم سیاست های جایگزین استانداردهای امنیتی مبتنی بر ایده تغییر فرهنگی است. استانداردهای امنیتی معمولاً فقط بخشی از اسناد ذخیره شده در جایی در Confluence یا GSuite هستند. آنها می توانند توسط یک توسعه دهنده در طول یک جلسه آموزش سالانه اجباری یا هر از گاهی برای مراجعه بررسی شوند ، اما پویا نیستند و به ندرت در وهله اول قرار دارند.

مسئولین اجرای چنین استانداردهایی معمولاً متخصصین اجرای قانون یا عملیات امنیتی هستند که از نظر منطقی از توسعه دهندگان فاصله دارند.

علاوه بر سطح پایین فرزندخواندگی و ایجاد وقفه در گردش کار Agile ، استانداردهای امنیتی اغلب منجر به تبدیل شدن یک شخص بد به “مجری” می شوند. این امر باعث ایجاد شکاف بین توسعه دهنده و امنیت حتی بیشتر می شود ، که باعث می شود امنیت کمی شبیه پرداخت مالیات شما باشد (و هیچ کس این را نمی خواهد).

اگر تجربه “پیمانکار” سنتی با توسعه دهندگان به اشتراک گذاشته شود و به جای استانداردهای سختگیرانه ، سیاست های سازگارانه اتخاذ شود ، امنیت به سادگی بخشی از گردش کار می شود.

اعتماد شبکه صفر مثالی عالی در این مورد است. یک شبکه اعتماد صفر احتمالاً بهترین راه برای محافظت از زیرساخت های شما است و به سیاست های ماهرانه تعریف شده و مدیریت شده ارائه شده از طریق هر 10 اصل خود متکی است.

ارتباط کلیدی است

مشهور است که ارتباطات در هر رابطه موفق مهم است.

ارتباط بین تیم های توسعه و امنیت باید روان ، شفاف و در صورت امکان ، خودکار باشد. سازمان هایی که فرهنگ موفق DevSecOps دارند با اجازه دادن به ارتباطات فقط از طریق کانال یا پیام گروهی ، گام هایی در جهت بهبود همکاری و شفافیت برمی دارند.

درسهای مشترکی که از اشتباهات آموخته اند

گوگل اخیراً برخی از بهترین درسهای آموخته شده از زمان راه اندازی تیم مهندسی خود را برای اطمینان مشتری ، از جمله اهمیت دانستن نحوه برقراری ارتباط در مورد ریسک منتشر کرده است.

برای کاهش نتایج منفی ، تیم های CRE آنها یک ماتریس خطر ایجاد کردند تا دائماً خطرات فعلی و پیش بینی شده را ارزیابی ، برقراری ارتباط و رسیدگی کند. این نوع ورزش اگر توسط توسعه دهندگان به طور جداگانه انجام شود ، موفقیت آمیز نخواهد بود. با افزودن امنیت به ترکیب ، می توانید مطمئن باشید که خطرات به درستی رفع شده اند.

نظارت کامل بر سیستم

اگر شما مأموریت دارید که تیم های امنیتی و توسعه خود را سازماندهی کنید ، فرهنگ و ارتباطات فقط آغاز کار است. بسیار مهم است که شما ابزار و اطلاعاتی را که برای انجام این کار به طور م needثر نیاز دارند ، در اختیار آنها قرار دهید.

ما در مورد نظارت واقعی بر سیستم صحبت می کنیم ، نه فقط تخته سفید. مشاهده این قدرت را به تیم ها می دهد تا بدانند در هر لحظه از سیستم چه اتفاقی می افتد.

با اصول اولیه شروع کنید

مشاهده پذیری تحولی از نظارت است ، بنابراین مورد دوم باید موفقیت آمیز باشد. شاخص های مربوطه باید جمع آوری شده ، برای یک دوره مناسب ذخیره و به روشی قابل دسترسی ذخیره شوند. از معیارهای متغیر همچنین می توان برای ابزارهای ارزشمندی مانند داشبورد SIEM ، بخشی حیاتی از ابزارهای امنیتی استفاده کرد.

چیزی عالی بسازید

مانیتورینگ تجزیه و تحلیل میانی از سلامت و امنیت سیستم را فراهم می کند. با یک سیستم واقعاً قابل مشاهده ، می توانید داده ها را از هرجایی تجسم کنید – از جمله منابع بازاریابی ، تعادل بار شبکه ، خوشه های Kubernetes و موارد دیگر.

این به شما قدرت واقعی می دهد تا درک کنید هر جنبه از سیستم شما چه تأثیری بر کل سازمان دارد. شاید از همه قدرتمندتر از همه وضوح و کاربرد داده ها در یک سیستم واقعاً قابل مشاهده باشد.

پاسخ های تراز شده در زمان واقعی

زمینه و تحلیلی که سیستم عامل های نظارت بر زمان واقعی ارائه می دهند ، به تیم های شما این توانایی را می دهد که سریع و دقیق عمل کنند. در صورت نقض امنیت ، هر دو برنامه نویس و تیم های امنیتی می توانند با بینش واقعی و زمینه هشدار داده شوند و به آنها امکان همکاری موثر را می دهند. اگر قطعی سیستم دارید ، توسعه دهندگان شما می توانند برای شبکه سازی کار کنند ، در حالی که افراد امنیتی سیاست های محافظت از شما در برابر آسیب پذیرترین افراد را توصیه و تقویت می کنند.

آیا این واقعا به این سادگی است؟!!!!!!!!

نظارت یکی از م keyلفه های اصلی امنیت مدرن است. هرچه اطلاعات رویداد بیشتری داشته باشید ، سیستم شما بیشتر نمایان می شود. تحلیل متقابل شاخص ها از نظر توسعه دهندگان و امنیت شفافیت و درک متقابل را در مواقع بحرانی ایجاد می کند.

متأسفانه ، پیروی از این مراحل ساده به طور جادویی تیم های توسعه و امنیت را یک شبه در یک صف قرار نمی دهد. اینها فقط موارد اساسی است که برای ایجاد یک چرخش توپ برای ایجاد یک رابطه همزیستی نیاز دارید.

آریل آساراف مدیر عامل شرکت مرجان شناسی. وی کهنه سربازی نخبگان اطلاعاتی اسرائیل است ، Coralogix را برای تغییر روش تجزیه و تحلیل افراد در عملیات ، برنامه ها ، زیرساخت ها و داده های امنیتی خود – دفترچه خاطرات در یک زمان – تاسیس کرد.

انجمن هفته اطلاعات متخصصان فناوری اطلاعات و متخصصان صنعت را با مشاوره ، آموزش و نظرات فناوری اطلاعات گرد هم آورده است. ما تلاش می کنیم تا رهبران فن آوری و متخصصان موضوع را برجسته کنیم و از دانش و تجربه آنها برای کمک به مخاطبان IT خود استفاده کنیم … مشاهده بیوگرافی کامل

ما از نظرات شما در مورد این موضوع در کانال های رسانه های اجتماعی خود استقبال می کنیم ، یا [contact us directly] با س questionsالات در مورد سایت.

مقالات بیشتر



[ad_2]

منبع: tasiveh-news.ir