出典: Paul Markillie via Alamy Stock Photo
コメント
一般的に、セキュリティコントロールには3つのカテゴリがあります: 予防(敵を止める)、検出(敵を見つける)、修正(敵が壊したものを直す)。暗黙のうちに、これらすべては敵があなたの環境を利用できると仮定しており、あなたは彼らを打ち負かそうとしています。しかし、なぜ敵がその能力を持っていると仮定するのでしょうか?それは、リアルタイムストラテジーゲームの護衛ミッションのように、私たちが守っている側の行動を制御できないからです。秘密の任務を帯びた運び屋ではなく、ビジネスを成功させるためにアプリを高速で展開するビジネスパートナーなのです。
セキュリティの穴ぼこを見つける
セキュリティチームは、狂ったように急いで残されたすべての問題を文書化し、目録を作成し、優先順位を付けるという終わりのない探求に追われています。エンジニアリングチームには、修正活動に割ける余裕がほとんどないため、最良の修正を選ぶことがセキュリティチームにとって最も重要なニーズとなり、業界はそれに応えています。セキュリティ姿勢管理ツールが業界に溢れ、最高情報セキュリティ責任者(CISO)が重要なことを特定するのを助けると約束しています。クラウドセキュリティの設定ミスからソフトウェアサプライチェーンの脆弱性、ソフトウェア・アズ・ア・サービス(SaaS)のプロビジョニングまで。
関連記事:詐欺師が正当なウェブサイトを使って偽のサポート情報を拡散
セキュリティの穴ぼこを見つけるのは、セキュリティチームに時間があったときには良い戦略でした。セキュリティチームは、ソフトウェアエンジニアリングプロセスに介入するための多くの時間を持っていました。ウォーターフォールモデルを覚えていますか?ソフトウェア開発チームは、官僚的に遅い設計、開発、展開プロセスを使用して、ソフトウェアを本番システムに出すのに永遠に時間がかかっているように感じました。セキュリティチームは問題を特定し、システムが展開に近づく前にそれを修正することができました。そのアプローチは、ソフトウェアチームがアジャイルで継続的な展開方法を採用し、それによってセキュリティチームを追い越すまで加速したにもかかわらず、セキュリティ哲学に組み込まれました。
Loading...
穴ぼこの予防
現代のセキュリティアプローチには、問題を見つけるという考えが組み込まれています。道路修理ホットラインを持つ自治体が(時には)穴ぼこを埋めるクルーを派遣するのと同じように、私たちは失敗に対応するように組織されています。定期的に「ただ道路を舗装する」戦略を持つ町は、穴ぼこに対処する時間が少なくて済みます。もし私たちが同様の戦略を使い、事前に問題を排除することに焦点を当てたらどうでしょうか?エンジニアが走りたい道路を舗装できれば、セキュリティチームが対処すべき穴ぼこの大部分を特定したり優先順位を付けたりする必要がなくなり、より少ない課題に集中できます。
関連記事:GodFatherバンキングトロイの木馬が仮想化戦術を初公開
ステップ1: ボリュームを最小化する
攻撃面を最小化する代わりに、保護する必要のあるボリュームを減らすことができたらどうでしょうか?今日のほとんどのソフトウェアは、あまりにも多くのソフトウェアコンポーネントを含んで出荷されます。ソフトウェアプロジェクトは、そのソフトウェアを使用する可能性のあるすべての方法を考慮する必要があります。しかし、ほとんどの使用ケースにおいて、クリーンでミニマリストなビルドがより良いアプローチであり、必要なソフトウェアだけをサーバーやコンテナに配信します。必要のないランダムなソフトウェアを守ろうとする必要はありません。そして必要なソフトウェアについては、依存関係ツリーの遅延により、サブコンポーネントがひどく古くなっていることがよくあります(想像してください: 金曜日に組み立てられたソフトウェアパッケージには、木曜日のサブパッケージが含まれ、水曜日のサブサブパッケージが含まれ、火曜日のサブサブサブパッケージが含まれる、という具合です)。最新のパッケージでコンテナを組み立てることで、時間の遅延を減らし、システムが最新の状態を保つことでリスクボリュームを作り出します。
ステップ2: ネイティブツールを設定する
システム管理者はかつて、エコシステム全体で標準化された構成ポリシーを強制し、すべてのシステムが会社が提供できる最良の構成の恩恵を受けるようにしていました。しかし、企業がクラウドサービスに移行したとき、その実践は遅れを取りました。システム管理者が気にしなかったからではなく、クラウド構成インターフェースが役に立たなかったからです。安全なクラウド構成を設定するには、クラウドに関する深い知識が必要であり、それでも不十分なことがあります。今日のクラウドセキュリティチームは、クラウドベンダーが前例のない速さで新機能をリリースしているだけでなく、プロバイダー間で共通の構成文法がないという二重の課題に直面しています。セキュリティチームは、エコシステム全体で1つの構成を設定し、それを推進すべきところを、各プロバイダーの言語を学ばなければなりません。クラウドプロバイダー内でも異なる場合があります。
関連記事:Serpentine#CloudがCloudflareトンネルを使った隠密攻撃を実施
ステップ3: マシン間のパスワードのノイズを静める
ユーザーがますますパスワードレス認証に移行している一方で、APIキー、サーバー間パスワード、その他の人が関与しない認証情報のような非人間アイデンティティ(NHI)は取り残されています。NHIは企業環境の認証者の95%以上を占めていますが、NHIを管理するための最先端技術は通常、「静止状態で暗号化する」という高度な形態に過ぎません。私たちは、NHIに現代のパスワードマネージャーの同等物を提供し、アイデンティティ情報へのアクセスを使用される瞬間にのみ提供することに焦点を当てるべきです。それには、ソフトウェアサプライチェーンだけでなく、アプリケーションランタイムで秘密を見つけ、それらが誤管理されている場所(しばしば複数の場所に現れるため)を特定し、ソフトウェア開発ライフサイクルからアイデンティティを削除し、アプリケーションにNHIへのジャストインタイムアクセスを提供する管理ツールを提供する必要があります。
道路を舗装することは可能なだけでなく、正しい考えです。なぜなら、私たちのビジネスをより速く、より安全に進めることができ、リスクを最小限に抑えながら開発者のスループットを最大化できるからです。すべてを舗装することはできませんが(まだ)、今すぐ始めて、ビジネスを加速させる道路の舗装に集中することができます。