Utforsk observerbarhet gjennom sikkerhetsvurdering
Observabilitet er også avgjørende for sikkerhetsovervåking og vurdering, noe som tilrettelegger for påvisning av og respons på sikkerhetshendelser. Sikkerhetsobservasjon inkluderer overvåking for unormale mønstre som indikerer potensielle trusler, identifisering av sårbarheter i programvare og den underliggende infrastrukturen, og overvåkingsaktiviteter i det overvåkede miljøet. Organisasjonen i eksempelscenariet var underlagt flere sikkerhetsutnyttelser, som kunne ha blitt forhindret eller i det minste redusert ved å anvende prinsippene for sikkerhetsobservasjon. I denne enheten kan du lære om noen av de vanligste måtene å anvende disse prinsippene på.
Hvordan bruke prinsippene for sikkerhetsobservasjon?
Sikkerhetsteknikker, som er en del av DevSecOps-strategien, kan grupperes i to hovedkategorier avhengig av om de fokuserer på å forhindre brudd eller om de er en del av den antatte bruddtilnærmingen. DevOps-planleggings-, utviklings- og leveringsfasene fokuserer hovedsakelig på hindring av brudd ved hjelp av teknikker som trusselmodeller, livssyklus for sikkerhetsutvikling, kodegjennomganger, statisk programsikkerhetstesting (SAST), dynamisk programsikkerhetstesting (DAST) og analyse av programvaresammensetning (SCA). I den operative fasen er det vanlig å kombinere bruddforebygging og påta seg bruddteknikker, inkludert krigsspilløvelser, direkte nettstedsinntrengningstester, sikkerhetsovervåkingog sikkerhetsvurdering.
krigsspilløvelser er hendelser der to lag, referert til som røde og blå, får i oppgave å vurdere sikkerheten til et gitt miljø. Det røde teamet tar på seg rollen som en angriper. Den forsøker å etterligne virkelige angrep for å finne hull i sikkerheten og bruke dem til å demonstrere den potensielle virkningen av deres bedrifter. Det blå laget påtar seg rollen som en forsvarer. Målet er å oppdage og svare på røde teamets angrep.
direkte tester utføres av autoriserte sikkerhetsteknikere som aktivt forsøker å utnytte sårbarheter i målmiljøet. Målet er å identifisere, vurdere og utbedre disse sårbarhetene før de blir utsatt for faktiske utnyttelser.
Sikkerhetsovervåking og sikkerhetsvurdering er integrerte komponenter i Sikkerhetsobservasjon for DevOps, som bidrar i fellesskap til kontinuerlig og proaktiv identifikasjon, analyse og respons på sikkerhetsrelaterte hendelser og sårbarheter. Sikkerhetsovervåking følger i stor grad den samme tilnærmingen som den som gjelder for ytelsesovervåking, og samler inn telemetri i sanntid, for eksempel måledata, logger og spor for å spore den generelle sikkerheten til arbeidsbelastningene dine. Sikkerhetsvurderingen er avhengig av at telemetri evaluerer sikkerheten til organisasjonens informasjonssystemer, programmer og infrastruktur for å identifisere sårbarheter, vurdere risikoer og gi anbefalinger for utbedringen.
Det er vanlig å bruke for dette formålet en dedikert løsning som implementerer Security Information and Event Management (SIEM) funksjonalitet, for eksempel skybasert Microsoft Sentinel. Microsoft Sentinel kombinerer telemetridata fra et bredt spekter av kilder, korrelerer dem automatisk og ser etter mønstre ved hjelp av kunstig intelligens og maskinlæring.
Du kan også dra nytte av funksjonaliteten som er innebygd i Microsoft DevOps-plattformer, for eksempel GitHub eller Azure DevOps. GitHub tilbyr spesielt mange verktøy som implementerer sikkerhetsovervåking og vurdering, for eksempel GitHub Advanced Security.
Dependabot skanner automatisk repos-vertsbasert programvare for eventuelle eksterne avhengigheter, og søker etter kjente sårbarheter mot GitHubs rådgivende database. I tilfelle slike sårbarheter blir funnet, genererer Dependabot automatisk pull-forespørsler om å oppgradere dem til ikke-usårbare versjoner.
GitHub Advanced Security kombinerer flere sikkerhetsfunksjoner og funksjoner som forbedrer arbeidsflyter for programvarelevering, inkludert kodeskanning, hemmelig skanning og avhengighetsvurderinger. Security Code Scanning skanner for eksempel kildekode som driftes på nytt, og oppdager sikkerhetsproblemer og programmeringsfeil.
Den integreres med GitHub-handlinger, noe som muliggjør automatisert og kontinuerlig kodeanalyse som en del av CI/CD-arbeidsflyter.