Udforsk observability via sikkerhedsvurdering
Observabilitet er også afgørende for sikkerhedsovervågning og -vurdering, hvilket letter registrering af og svar på sikkerhedshændelser. Sikkerhedsovervågning omfatter overvågning af unormale mønstre, der angiver potentielle trusler, identificering af sårbarheder i software og den underliggende infrastruktur samt overvågningsaktiviteter i det overvågede miljø. Organisationen i eksempelscenariet var underlagt flere sikkerhedsudnyttelser, som kunne have været forhindret eller i det mindste afhjælpet ved at anvende principperne for sikkerheds observabilitet. I dette undermodul kan du få mere at vide om nogle af de mere almindelige måder at anvende disse principper på.
Hvordan anvender man principperne om sikkerheds observabilitet?
Sikkerhedsteknikker, som er en del af DevSecOps-strategien, kan grupperes i to hovedkategorier, afhængigt af om de fokuserer på at forhindre brud, eller om de er en del af den formodede tilgang til brud. DevOps-planlægnings-, udviklings- og leveringsfaserne fokuserer primært på forebyggelse af brud ved hjælp af teknikker som trusselsmodeller, livscyklus for sikkerhedsudvikling, kodegennemgange, sast (static application security testing), dynamic application security testing (DAST) og softwarekompositionsanalyse (SCA). I den driftsmæssige fase er det almindeligt at kombinere forebyggelse af brud og antage brudteknikker, herunder krigsspil øvelser, live site indtrængningstest, sikkerhedsovervågningog sikkerhedsvurdering.
War spil øvelser er begivenheder, hvor to hold, kaldet røde og blå, har til opgave at vurdere sikkerheden i et givet miljø. Det røde team påtager sig rollen som en hacker. Den forsøger at emulere angreb fra den virkelige verden for at finde huller i sikkerheden og bruge dem til at demonstrere den potentielle virkning af deres udnyttelser. Det blå team påtager sig rollen som forsvarsspiller. Dens mål er at registrere og reagere på de røde holdets angreb.
test af indtrængningstest for livewebsteder udføres af autoriserede sikkerhedseksperter, der aktivt forsøger at udnytte sårbarheder i målmiljøet. Målet er at identificere, vurdere og afhjælpe disse sårbarheder, før de er underlagt faktiske udnyttelser.
Sikkerhedsovervågning og sikkerhedsvurdering er en integreret del af DevOps-sikkerhedsovervågning og bidrager i fællesskab til den kontinuerlige og proaktive identifikation, analyse og svar på sikkerhedsrelaterede hændelser og sikkerhedsrisici. Sikkerhedsovervågning følger stort set den samme fremgangsmåde som den, der gælder for overvågning af ydeevnen, indsamling af telemetri i realtid, f.eks. målepunkter, logge og sporinger for at spore den overordnede sikkerhed for dine arbejdsbelastninger. Sikkerhedsvurdering er afhængig af denne telemetri til at evaluere sikkerheden i organisationens informationssystemer, programmer og infrastruktur for at identificere sårbarheder, vurdere risici og komme med anbefalinger til afhjælpning af dem.
Det er almindeligt at bruge en dedikeret løsning til dette formål, der implementerer SIEM(Security Information and Event Management) funktionalitet, f.eks. Cloud-hosted Microsoft Sentinel. Microsoft Sentinel kombinerer telemetridata fra en lang række kilder og korrelerer dem automatisk og søger efter mønstre ved hjælp af kunstig intelligens og maskinel indlæring.
Du kan også drage fordel af den funktionalitet, der er indbygget i Microsoft DevOps-platforme, f.eks GitHub eller Azure DevOps. GitHub tilbyder især mange værktøjer, der implementerer sikkerhedsovervågning og -vurdering, f.eks. GitHub Advanced Security.
Dens Dependabot scanner automatisk lagre hostet software for alle eksterne afhængigheder og søger efter kendte sårbarheder i forhold til GitHub's Advisory Database. Hvis sådanne sikkerhedsrisici findes, genererer Dependabot automatisk pullanmodninger for at opgradere dem til ikke-tilladte versioner.
GitHub Advanced Security kombinerer flere sikkerhedsfunktioner og -funktioner, der forbedrer arbejdsprocesser til levering af software, herunder kodescanning, hemmelig scanning og afhængighedsgennemgang. Scanning af sikkerhedskode scanner f.eks. lagerbaseret kildekode og registrerer sikkerhedsrisici og programmeringsfejl.
Den kan integreres med GitHub-handlinger, hvilket giver mulighed for automatiseret og kontinuerlig kodeanalyse som en del af CI/CD-arbejdsprocesser.