Розробка програмного забезпечення та конвеєри DevSecOps є популярними цілями для хакерів. Їх можна краще захистити за допомогою інфраструктури NIST.
«Спосіб розробки програмного забезпечення постійно змінюється, нові методи підвищують ефективність процесу розробки. Архітектура програмного забезпечення також розвивається таким чином, що більшу частину програмного забезпечення можна створювати зі стандартних компонентів, які можна використовувати багаторазово», — сказав Том Молден, ІТ-директор Global Executive Engagement у Tanium.
Адаптувати системи управління для програмного забезпечення
«Подумайте про це як про будівництво збірного будинку, де стандартні частини можна побудувати на фабриці з набагато більшою ефективністю та якістю, тоді як справді цінні та індивідуальні частини будинку залишаються будівельнику або майстру на місці. Оскільки світ розробки програмного забезпечення швидко змінюється, можливості для ризиків безпеки збільшуються, а це означає, що системи керування, розроблені, щоб допомогти компаніям захистити програмне забезпечення, яке вони розробляють і розгортають, також повинні адаптуватися.
Постійна інтеграція та постійне розгортання (нові процеси, запроваджені в хмарну нативну розробку) підштовхують прогрес до рівня, за яким люди більше не можуть встигати. Навіть найкращий інженер із захисту додатків не зможе встигнути за тим, що постійно змінюється.
NIST – рівний захист для всіх учасників
Незважаючи на те, що вони довгі, рамки NIST корисні тим, що вони використовують дуже комплексний підхід до засобів контролю безпеки - вони ретельно продумують речі та надають багато детальної інформації. По-іншому поглянути на це так: вони виконали роботу за вас — так би мовити подарований кінь. Система відліку, як NIST, яка так широко використовується в усьому світі, означає, що всі учасники, які беруть участь у захисті навколишнього середовища, читають одну ноту.
Усі типи контролю безпеки зазвичай включають певний рівень ручного компонента. У якийсь момент кібераналітик або оператор повинен щось переглянути та прийняти рішення. Наслідком CI/CD є вищий рівень автоматизації в процесі розробки програмного забезпечення, і зазвичай проблема полягає в тому, як охопити ті етапи автоматизації, які зазвичай виконуються людиною.
Різні фреймворки NIST
Ймовірно, у майбутньому буде дуже важко продовжувати підтримувати розробку програмного забезпечення як у хмарі, так і у спадщині. Еволюція хмари призвела до стандартизації та підвищення ефективності, яка зазвичай не зустрічається у світі застарілих розробок. Розробка застарілого програмного забезпечення відбувається в багатьох різних середовищах і різними способами, що важко уявити переоснащення. Якби у мене був вільний євро, я б вклав його в швидший розвиток у хмарі та devsecops, а не намагався щось виправити заднім числом.
Існує багато різних типів фреймворків NIST, і корисно зрозуміти, як вони працюють разом. Я вважаю, що презентація на рівні керівництва ключових висновків контрольного середовища NIST була б корисною, щоб показати, як ця нова структура пов’язана з іншими».
Більше на Tanium.com
Про Таніум Tanium, єдиний у галузі постачальник конвергентного керування кінцевими точками (XEM), веде зміну парадигми традиційних підходів до управління складними середовищами безпеки та технологій. Тільки Tanium захищає кожну команду, кінцеву точку та робочий процес від кіберзагроз, інтегруючи ІТ, відповідність, безпеку та ризики в єдину платформу. Платформа Tanium забезпечує повну видимість на всіх пристроях, уніфікований набір елементів керування та загальну таксономію.
Статті по темі