Eksplorowanie możliwości obserwacji za pośrednictwem oceny zabezpieczeń
Obserwacja jest również niezbędna w przypadku monitorowania i oceny zabezpieczeń, ułatwiania wykrywania zdarzeń zabezpieczeń i reagowania na nie. Możliwość obserwacji zabezpieczeń obejmuje monitorowanie nietypowych wzorców wskazujących potencjalne zagrożenia, identyfikowanie luk w zabezpieczeniach oprogramowania i podstawowej infrastruktury oraz działania inspekcji w monitorowanym środowisku. Organizacja w przykładowym scenariuszu była narażona na kilka naruszeń bezpieczeństwa, którym można było zapobiec lub przynajmniej je złagodzić, stosując zasady obserwowalności bezpieczeństwa. W tej lekcji poznasz niektóre z bardziej typowych sposobów stosowania tych zasad.
Jak zastosować zasady obserwowalności zabezpieczeń?
Techniki zabezpieczeń, które są częścią strategii DevSecOps, można zgrupować w dwie główne kategorie w zależności od tego, czy koncentrują się na zapobieganiu naruszeniom, czy też są częścią przyjętego podejścia do naruszenia. Etapy planowania, programowania i dostarczania metodyki DevOps koncentrują się głównie na zapobieganiu naruszeniom z użyciem takich technik jak modele zagrożeń, cykl projektowania zabezpieczeń zabezpieczeń, przeglądy kodu, statyczne testowanie zabezpieczeń aplikacji (SAST), dynamiczne testowanie zabezpieczeń aplikacji (DAST) i analiza składu oprogramowania (SCA). Na etapie operacyjnym często łączy się zapobieganie naruszeniom i zakłada się techniki naruszenia, w tym ćwiczenia w grze wojennej, testy penetracyjne na żywo, monitorowanie zabezpieczeń i ocenę zabezpieczeń.
Ćwiczenia gry wojennej to wydarzenia, w których dwie drużyny, nazywane czerwonymi i niebieskimi, mają za zadanie ocenić bezpieczeństwo danego środowiska. Czerwony zespół pełni rolę napastnika. Podejmuje próbę emulacji rzeczywistych ataków w celu znalezienia luk w zabezpieczeniach i wykorzystania ich do zademonstrowania potencjalnego wpływu ich wykorzystania. Niebieski zespół przejmuje rolę obrońcy. Jego celem jest wykrywanie ataków czerwonego zespołu i reagowanie na nie.
Testy penetracyjne na żywo są wykonywane przez autoryzowanych specjalistów ds. zabezpieczeń, którzy aktywnie próbują wykorzystać luki w zabezpieczeniach w środowisku docelowym. Celem jest zidentyfikowanie, ocenę i skorygowanie tych luk w zabezpieczeniach, zanim zostaną one poddane rzeczywistym wykorzystaniu luk.
Monitorowanie zabezpieczeń i ocena zabezpieczeń są integralną częścią możliwości obserwacji zabezpieczeń devOps, przyczyniając się wspólnie do ciągłej i proaktywnej identyfikacji, analizy i reagowania na zdarzenia i luki w zabezpieczeniach. Monitorowanie zabezpieczeń w dużej mierze podąża za tym samym podejściem, które ma zastosowanie do monitorowania wydajności, zbierając dane telemetryczne w czasie rzeczywistym, takie jak metryki, dzienniki i ślady, w celu śledzenia ogólnych zabezpieczeń obciążeń roboczych. Ocena zabezpieczeń opiera się na tej telemetrii w celu oceny zabezpieczeń systemów informacyjnych, aplikacji i infrastruktury organizacji w celu zidentyfikowania luk w zabezpieczeniach, oceny ryzyka i udostępnienia zaleceń dotyczących ich korygowania.
W tym celu często używane jest dedykowane rozwiązanie, które implementuje funkcje zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM ), takie jak hostowana w chmurze usługa Microsoft Sentinel. Usługa Microsoft Sentinel łączy dane telemetryczne z szerokiego zakresu źródeł, automatycznie korelując je i wyszukując wzorce przy użyciu sztucznej inteligencji i uczenia maszynowego.
Możesz również skorzystać z funkcji wbudowanych w platformy Microsoft DevOps, takie jak GitHub lub Azure DevOps. W szczególności usługa GitHub oferuje wiele narzędzi, które implementują monitorowanie i ocenę zabezpieczeń, takie jak GitHub Advanced Security.
Funkcja Dependabot automatycznie skanuje oprogramowanie hostowane w repozytoriach pod kątem wszelkich zależności zewnętrznych, wyszukując znane luki w zabezpieczeniach bazy danych doradczych usługi GitHub. W przypadku znalezienia takich luk w zabezpieczeniach funkcja Dependabot automatycznie generuje żądania ściągnięcia, aby uaktualnić je do nieuważalnych wersji.
Usługa GitHub Advanced Security łączy kilka funkcji zabezpieczeń i możliwości, które zwiększają przepływy pracy dostarczania oprogramowania, w tym skanowanie kodu, skanowanie wpisów tajnych i przeglądy zależności. Na przykład skanowanie kodu zabezpieczeń skanuje kod źródłowy hostowany w repozytorium, wykrywając luki w zabezpieczeniach i błędy programowania.
Integruje się z GitHub Actions, umożliwiając automatyczną i ciągłą analizę kodu w ramach przepływów pracy CI/CD.