Lo sviluppo di software e le pipeline DevSecOps sono obiettivi popolari per gli hacker. Possono essere protetti meglio utilizzando il quadro NIST.
“Il modo in cui viene sviluppato il software è in continua evoluzione, con nuovi metodi che aumentano l’efficienza del processo di sviluppo. Anche l’architettura software si sta evolvendo in modo che gran parte del software possa essere realizzato con componenti standard riutilizzabili”, ha affermato Tom Molden, CIO Global Executive Engagement di Tanium.
Adattare i sistemi di controllo per il software
“Pensalo come costruire una casa prefabbricata, dove le parti standard possono essere costruite in una fabbrica con efficienza e qualità di gran lunga maggiori, mentre le parti veramente preziose e personalizzate della casa sono lasciate al costruttore o all’artigiano in loco. Poiché il mondo dello sviluppo software cambia rapidamente, le opportunità di rischi per la sicurezza si moltiplicano, il che significa che anche i sistemi di controllo progettati per aiutare le aziende a proteggere il software che sviluppano e distribuiscono devono adattarsi.
L’integrazione costante e la distribuzione costante (i nuovi processi introdotti nello sviluppo nativo del cloud) spingono il progresso a un livello al quale gli esseri umani non riescono più a tenere il passo. Anche il miglior tecnico della sicurezza applicativa non riesce a stare al passo con qualcosa che cambia costantemente.
NIST – pari protezione per tutti i soggetti coinvolti
Per quanto lunghi, i framework NIST sono utili in quanto adottano un approccio molto completo ai controlli di sicurezza: riflettono attentamente sulle cose e presentano molte informazioni dettagliate. Un altro modo di vedere la cosa è che hanno fatto il lavoro per te: un cavallo in regalo, per così dire. Un quadro di riferimento come il NIST, così ampiamente utilizzato in tutto il mondo, significa che tutti gli attori coinvolti nella protezione dell’ambiente leggono lo stesso spartito.
Tutti i tipi di controlli di sicurezza implicano in genere un certo livello di componente manuale. Ad un certo punto, un analista o un operatore informatico deve esaminare qualcosa ed esprimere un giudizio. L'implicazione di CI/CD è un livello più elevato di automazione nel processo di sviluppo del software e la sfida è solitamente come coprire quelle fasi dell'automazione che normalmente vengono eseguite da un essere umano.
Vari quadri NIST
In futuro sarà probabilmente molto difficile continuare a supportare sia lo sviluppo di software cloud-native che quello legacy. L'evoluzione del cloud ha imposto la standardizzazione e consentito efficienze solitamente non riscontrabili nel mondo dello sviluppo legacy. Lo sviluppo di software legacy avviene in così tanti ambienti diversi e in così tanti modi diversi che è difficile immaginare una riorganizzazione. Se avessi un euro da parte, lo investirei in uno sviluppo più rapido verso cloud e devsecops invece di provare a sistemare qualcosa retroattivamente.
Esistono molti tipi diversi di strutture NIST ed è utile capire come funzionano insieme. Penso che sarebbe utile una presentazione a livello di leadership dei risultati chiave dell’ambiente di controllo del NIST, per mostrare come questo nuovo quadro si relaziona con gli altri”.
Altro su Tanium.com
A proposito di Tanio Tanium, l'unico fornitore di Converged Endpoint Management (XEM) del settore, sta guidando il cambio di paradigma negli approcci tradizionali alla gestione di ambienti tecnologici e di sicurezza complessi. Solo Tanium protegge ogni team, endpoint e flusso di lavoro dalle minacce informatiche integrando IT, conformità, sicurezza e rischio in un'unica piattaforma. La piattaforma Tanium offre una visibilità completa su tutti i dispositivi, un insieme unificato di controlli e una tassonomia comune.
Articoli relativi all'argomento