Aracılığıyla paylaş

DevOps Güvenliği

DevOps güvenliği, ilk tasarım ve kodlamadan derleme, test ve üretime dağıtım aracılığıyla yazılım geliştirme yaşam döngüsü (SDLC) boyunca güvenlik uygulamalarını tümleştirir. Güvenliği son geçit olarak kabul eden geleneksel güvenlik yaklaşımlarından farklı olarak DevOps güvenliği, geliştirme işlem hattının her aşamasına güvenlik denetimleri, otomatik test ve sürekli izleme ekler. Bu yaklaşım, modern yazılım tesliminde karmaşık CI/CD işlem hatlarına, üçüncü taraf bağımlılıklarına, kod olarak altyapıya ve otomatik dağıtımlara bağımlı olduğunu ve her birinin saldırganların etkin bir şekilde yararlanan olası saldırı vektörlerine sahip olduğunu kabul eder. DevOps güvenliği, Sıfır Güven ilkeleri (ihlal varsayma, açıkça doğrulama) ve derinlemesine savunma stratejileri uygulayarak kod, bağımlılıklar, altyapı yapılandırmaları ve işlem hattı işlemlerinin üretim aracılığıyla tasarıma karşı güvenilir ve kurcalamaya karşı dayanıklı kalmasını sağlar. Kapsamlı DevOps güvenliği olmadan kuruluşlar tedarik zinciri saldırıları, işlem hatlarında kimlik bilgilerinin açığa alınması, kötü amaçlı kod ekleme, savunmasız kapsayıcı görüntüleri ve tüm aşağı akış tüketicilerini etkileyen kalıcı arka kapı oluşturabilecek yetkisiz altyapı değişiklikleri gibi kritik risklerle karşı karşıya kalır.

DevOps Security güvenlik etki alanının üç temel sütunu aşağıdadır.

Tasarım ve tedarik zincirinin güvenliğini sağlama: Yapılandırılmış tehdit modellemesini erken gerçekleştirin. Bağımlılık ve lisans tarama, güvenlik açığı yönetimi ve SBOM oluşturma ile tedarik zincirini koruyun. Tüm bileşenlerin kanıtlanmışlığını ve bütünlüğünü doğrulayın.

İlgili denetimler:

Shift, güvenlik denetimlerini sola kaydır: Shift, SAST, gizli dizi tarama, IaC tarama ve DAST'ı CI/CD işlem hattıyla tümleştirerek güvenlik denetimlerini bıraktı. Gizli yönetimini (örneğin, Key Vault) merkezileştirin, işlem hattı değiştirme yetkisini kısıtlayın ve dağıtımdan önce yapıtları (kapsayıcı ve VM görüntüleri gibi) sürekli tarayıp güvenli hale getirin.

İlgili denetimler:

DevOps etkinliklerini izleme ve denetleme: Bağıntı ve yanıt için DevOps denetim ve güvenlik günlüklerini toplayın ve merkezi bir analiz platformuna iletin. Yetkisiz işlem hattı değişikliklerini, ayrıcalık yükseltmelerini, anormal işlemeleri ve çalışma saatleri dışında yürütmeyi algılayın.

İlgili denetimler:

DS-1: Tehdit modellemesi gerçekleştirme

Güvenlik ilkesi

Olası güvenlik tehditlerini belirlemek, riskleri önceliklendirmek ve kod geliştirme başlamadan önce uygun risk azaltmaları uygulamak için tasarım aşamasında STRIDE metodolojisini kullanarak sistematik tehdit modellemesi uygulayın. Bu sola kaydırma yaklaşımı, düzeltme maliyetlerini azaltır ve genel güvenlik duruşunu geliştirir.

Azaltma riski

Tasarım aşamasında tehdit modellemesi gerçekleştiremeyen kuruluşlar, saldırganların sistematik olarak yararlanan kritik kör noktalarla çalışır. Sistematik tehdit analizi olmadan:

  • Geç mimari kusurları: Katıştırılmış tasarım güvenlik açıkları, üretimde pahalı bir yeniden düzenleme gerektirir ve düzeltme maliyetleri tasarım aşamasındaki sorunlara göre önemli ölçüde daha yüksektir.
  • Tanımlanamayan saldırı yüzeyleri: Güvenli olmayan güven sınırları, eksik kimlik doğrulama gereksinimleri veya yetersiz veri akışı korumaları gibi tehdit vektörleri belgelenmemiş olarak kalır ve saldırganların, savunmacıların tanımadığı bilinen zayıflıklardan yararlanmasına olanak tanır.
  • Yetersiz güvenlik denetimleri: Eksik veya yetersiz güvenlik denetimleri (şifreleme, kimlik doğrulaması, yetkilendirme, denetim günlüğü) eksik tehdit analizinden kaynaklanır ve derinlemesine savunma stratejisinde açıklardan yararlanılabilir boşluklar oluşturur.
  • Uyumluluk kör noktaları: Güvenli tasarım doğrulaması için düzenleme gereksinimleri (PCI-DSS, HIPAA, SOX) belgelenmiş tehdit modelleri ve risk azaltma kanıtı olmadan karşılanamaz.
  • Güvenlik borcu birikimi: Tehdit modellemesi olmadan sürekli özellik eklemeleri, bileşik güvenlik teknik borcu oluşturur, sistemleri giderek daha savunmasız hale getirir ve geriye dönük olarak güvenliğini sağlamak zorlaşır.

Tehdit modellemesinin olmaması ihlal olasılığını artırır, bekleme süresini uzatır ve erken tasarım aşaması risk azaltmaya kıyasla çok daha yüksek düzeltme maliyeti sağlar.

MITRE ATT&CK

  • İlk Erişim (TA0001): tehdit modellemenin belirleyeceği kimlik doğrulaması, oturum yönetimi veya giriş doğrulamasında mimari kusurlardan yararlanarak genel kullanıma yönelik uygulamadan (T1190) yararlanma.
  • Ayrıcalık Yükseltme (TA0004): sistem mimarisinde yetersiz ayrıcalık yalıtımı veya eksik yetkilendirme kontrollerinin kötüye kullanılmasıyla yükseltme kontrol mekanizmasının istismarı (T1548).
  • Savunmadan Kaçınma (TA0005): eksik denetim günlüğü, izleme boşlukları veya sistemde tasarlanan yetersiz güvenlik telemetrisini kötüye kullanarak savunmaları (T1562) bozar.

DS-1.1: STRIDE tabanlı tehdit modellemesi uygulama

Tasarım aşamasında sistematik tehdit modellemesi, geliştirme başlamadan önce güvenlik açıklarını belirleyerek güvenli yazılım mimarisinin temelini sağlar. Tasarım aşamasındaki güvenlik sorunlarının giderilmesi, düzeltme maliyetlerini önemli ölçüde azaltır ve mimari kusurların üretim sistemlerine katıştırılmasını önler. Erken tehdit belirleme, güvenlik denetimlerinin daha sonra yenilenmesinin yerine mimaride yerleşik olmasını sağlar.

Tehdit modellemesi oluşturmak için aşağıdaki yapılandırılmış yaklaşımı uygulayın:

  • Sistematik STRIDE metodolojisi oluşturma: STRIDE metodolojisini (Kimlik Sahtekarlığı, Kurcalama, İnkar Etme, Bilgilerin Açığa Çıkması, Hizmet Reddi, AyrıcalıkLarın Yükseltilmesi) kullanarak sistematik tehdit modellemesini zorunlu tasarım aşaması etkinliği olarak oluşturun. Sistem bileşenlerini, veri akışlarını, güven sınırlarını ve dış bağımlılıkları eşleyen veri akışı diyagramları (DFT) oluşturarak başlayın. Her bileşen ve veri akışı için altı STRIDE kategorisinin tamamındaki olası tehditleri sistematik olarak değerlendirin, risklere olasılık ve etki temelinde öncelik ver ve geliştirme başlamadan önce belirli azaltmaları belgele.

  • Yapılandırılmış tehdit modelleme araçlarını kullanın: Tutarlılığı korumak ve ortak mimari desenleri (web uygulamaları, API'ler, mikro hizmetler, IoT çözümleri) için önceden oluşturulmuş şablonlardan yararlanmak için Microsoft Tehdit Modelleme Aracı gibi yapılandırılmış tehdit modelleme araçlarını kullanın. Araç, bileşen türlerine ve veri akışlarına dayalı olarak otomatik tehdit belirlemesi yapar, DFD (Veri Akış Diyagramı) oluşturma işlemini kolaylaştırır ve ilişkili güvenlik kontrolleriyle birlikte uygulanabilir azaltma önerileri oluşturur. Tehdit modellemelerini, mimari belgelerle birlikte kaynak denetiminde sürümlenmiş artefaktlar olarak depolayın.

  • Geliştirme iş akışlarıyla tümleştirme: Tanımlanan tehditleri net sahiplik, öncelik ve kabul ölçütleriyle Azure DevOps iş öğelerine aktararak tehdit modelleme çıkışlarını doğrudan geliştirme iş akışlarıyla tümleştirin. Tamamlanmış tehdit modellerini tasarım onayı öncesinde gerektiren mimari inceleme geçitlerini uygulayın. Ayrıca, mimari değişiklikler algılandığında tehdit modeli incelemelerini tetikleyen çekme talebi denetimleri oluşturun. Bu, tehdit analizinin geliştirme yaşam döngüsü boyunca sistem evrimiyle eşitlenmiş olarak kalmasını sağlar.

DS-1.2: Tehdit analizi tümleştirmeyi otomatikleştirme

Büyük kuruluşlar genelinde tehdit modellemesini ölçeklendirmek için güvenlik gözden geçirmelerinin geliştirme performans sorunlarına dönüşmesini önlemek için otomasyon ve dağıtılmış yetenek gerekir. Proje başlatma ve çekme isteği süreçlerine eklenen otomatik tehdit belirleme iş akışları, her proje için el ile müdahale olmadan tutarlı güvenlik analizi sağlar. Etkinleştirme programları aracılığıyla geliştirme ekipleri içinde güvenlik uzmanlığı oluşturmak, sürdürülebilir, ölçeklenebilir tehdit modelleme uygulamaları oluşturur.

Şu otomasyon ve etkinleştirme özelliklerini uygulayın:

  • Otomasyon ve etkinleştirme aracılığıyla ölçeklendirme: Otomasyon ve etkinleştirme aracılığıyla kuruluş genelinde tehdit modellemesini ölçeklendirin. Risk düzeyini otomatik olarak değerlendiren, tehdit modelleme gereksinimlerini belirleyen ve veri sınıflandırmasına, dış kullanıma ve mevzuat kapsamına göre uygun güvenlik gözden geçirme denetim noktaları atayan proje başlatma şablonlarına güvenlik anketleri ekleyin. Çekme isteği iş akışlarında, sistem sınırları, kimlik doğrulama akışları veya veri işleme mantığında yapılan değişiklikleri algılayan ve bu tür değişiklikleri tehdit modeli doğrulaması için güvenlik mimarlarına yönlendiren mimari inceleme tetikleyicilerini otomatikleştirin.

  • Güvenlik şampiyonlarıyla dağıtılmış özellik oluşturma: Geliştirme ekiplerinin içinde dağıtılmış tehdit modelleme özelliği oluşturmak için bir Güvenlik Şampiyonları programı oluşturun. StrIDE metodolojisi konusunda şampiyonları eğitin, onlara tehdit modelleme araçları ve şablonları sağlayın ve ekiplerinin tehdit modelleme oturumlarını kolaylaştırmalarını sağlayın. Güvenlik şampiyonları, karmaşık senaryoları merkezi güvenlik ekiplerine yükselterek çoğu tehdit modellemesinin performans sorunları olmadan gerçekleşmesini sağlayarak ilk gözden geçirme hattı görevi görür.

Otomatik tehdit analizi uygulaması:

  • Anket tabanlı değerlendirme: Tutarlı tehdit belirleme için Azure DevOps şablonlarıyla tümleştirilmiş standartlaştırılmış güvenlik anketleri
  • Güvenlik şampiyonları programı: Tehdit modellemeyi kolaylaştırma konusunda eğitilen her geliştirme ekibinde belirlenen güvenlik şampiyonları
  • Mimari gözden geçirme otomasyonu: Tehdit modeli incelemeleri gerektiren mimari diyagram güncellemeleri için çekme isteklerinde otomatik kontroller
  • Kod olarak tehdit modeli: Yapılandırılmış biçimleri (JSON/YAML) kullanarak otomatik analize olanak tanıyan sürüm denetimli tehdit modeli tanımları

Uygulama örneği

Bir finansal hizmetler kuruluşu, saldırganlar geliştirme sırasında hiçbir zaman tanımlanmamış ödeme API'sindeki yetkilendirme kusurlarından yararlandığında veri ihlali yaşadı ve bu da önemli sahtekarlık işlemlerine ve mevzuat cezalarına neden oldu.

Zorluk: Güvenlik incelemesi olmadan dağıtılan çok sayıda API ile mikroservis mimarisi. Geliştirme ekiplerinde tehditleri tanımlamak için güvenlik uzmanlığı bulunmadı. Mimari güvenlik sorunları yalnızca üretim olaylarından sonra bulunur.

Çözüm yaklaşımı:

  • STRIDE tehdit modellemesi: Mimariyi ve hassas veri akışlarını gösteren Veri Akışı Diyagramları ile tüm mikro hizmetler ve API uç noktaları için Microsoft Tehdit Modelleme Aracı uygulandı.
  • Güvenlik şampiyonları programı: Her geliştirme ekibindeki eğitilmiş tehdit modelleme kolaylaştırıcıları, merkezi güvenlik ekibini yavaşlatmadan tasarıma göre güvenliği sağlar.
  • Otomatik iş akışı entegrasyonu: Tehdit modeli incelemeleri, Azure DevOps çekme isteği iş akışlarına entegre edilmiştir ve mimari değişiklikler için güvenlik onayı gerektirir.

Sonuç: Olası ihlalleri önleyen dağıtım öncesi çok sayıda güvenlik sorunu tespit edildi. Üretimdeki güvenlik açıkları önemli ölçüde azaltıldı. Güvenlik gözden geçirmeleri, geliştirme döngüsüne en az zaman ekledi.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: SA-11, SA-15, PL-8, RA-3, RA-5
  • PCI-DSS v4: 6.3.1, 6.3.2, 12.3.1
  • CIS Denetimleri v8.1: 14.2, 14.3
  • NIST CSF v2.0: ID.RA-3, PR. IP-2
  • ISO 27001:2022: A.5.12, A.8.25
  • SOC 2: CC3.2, CC7.1

DS-2: Yazılım tedarik zincirinin güvenliğini sağlama

Güvenlik ilkesi

Üçüncü taraf bileşenlerinin kökenini, bütünlüğünü ve güvenlik duruşunu doğrulayarak bağımlılıklar için sıfır güven uygulayın; bunun tamamını bütünleştirmeden önce yapın. Güvenlik açıkları için bağımlılıkları sürekli tarayın, kapsamlı Yazılım Malzeme Listesi'ni (SBOM) koruyun ve tedarik zinciri saldırı yüzeyini en aza indirmek için otomatik güvenlik güncelleştirmelerini zorunlu kılın.

Azaltma riski

Saldırganlar en az çabayla yaygın etkiyi elde etmek için kuruluşlar ve üçüncü taraf bileşenler arasındaki güven ilişkilerinden yararlandığından yazılım tedarik zinciri saldırıları kritik tehditler oluşturur. Kapsamlı tedarik zinciri güvenliği olmadan:

  • Kötü amaçlı bağımlılıklar: Saldırganlar, popüler açık kaynak kütüphanelerine (SolarWinds tarzı saldırılar) arka kapılar ekler veya kurulum ya da çalışma sırasında kötü amaçlı kod çalıştıran benzer isimli sahte paketler oluşturur.
  • Güvenlik açığı bulunan üçüncü taraf kütüphaneleri: Bağımlılıklardaki bilinen CVE'ler, (şunlar dahil: Log4Shell, Heartbleed, Struts güvenlik açıkları) görünürlük eksikliği ve otomatik güvenlik açığı yönetimi nedeniyle haftalarca veya aylarca güncellenmeden kalır.
  • Kompromize olmuş derleme ürünleri: Saldırganlar, depolama veya aktarım sırasında derlenmiş ikili dosyalar, kapsayıcı görüntüleri veya dağıtım paketleriyle oynar ve kaynak kodu incelemesini atlatarak kötü amaçlı yazılımlar ekler.
  • Bağımlılık karışıklığı saldırıları: Kötü amaçlı aktörler, iç özel paketlerle eşleşen adlarla paketleri genel depolara yükler ve kötü amaçlı kodun yerine paket yöneticisi çözüm mantığını kullanır.
  • Geçişli bağımlılık riskleri: Dolaylı bağımlılıklardaki güvenlik açıkları (bağımlılıkların bağımlılıkları) derin bağımlılık ağacı analizi ve SBOM oluşturma olmadan görünmez durumda kalır.
  • Kanıtlanmışlık doğrulaması eksikliği: Şifreleme doğrulamasının olmaması, meşru paketlerin kötü amaçlı sürümlerle değiştirildiği paket değiştirme saldırılarına olanak tanır.

Tedarik zinciri güvenliğinin aşılması, güvenilir kitaplıklarda geniş kapsamlı etki, kalıcı arka kapı ve meşru görünüm nedeniyle yüksek kaçınma sağlar.

MITRE ATT&CK

  • İlk Erişim (TA0001): Hedef ortamlarda ilk destek noktasını elde etmek için yazılım bağımlılıklarının ve geliştirme araçlarının güvenliğini tehlikeye atarak tedarik zinciri güvenliğinin tehlikeye atılması (T1195.001) ve kötü amaçlı güncelleştirmeler sunmak için kuruluşlarla üçüncü taraf yazılım satıcıları arasındaki güvenden yararlanan güvenilir ilişki (T1199).
  • Yürütme (TA0002): bağımlılık yükleme betiklerine veya yükleme sonrası kancalara eklenmiş kötü amaçlı kodu yürüten komut ve betik yorumlayıcısı (T1059).
  • Kalıcılık (TA0003): uygulama güncelleştirmeleri arasında kalıcı olan derlenmiş kitaplıklara arka kapı ekleyen istemci yazılımı ikili dosyasının (T1554) güvenliğini aşma.

DS-2.1: Bağımlılık tarama ve yönetimi uygulama

Kapsamlı bağımlılık güvenlik yönetimi, tüm üçüncü taraf bileşenlerine görünürlük sağlayarak, güvenlik açıklarını sürekli izleyerek ve düzeltme süreçlerini otomatikleştirerek tedarik zinciri saldırılarını önler. Modern uygulamalar yüzlerce veya binlerce bağımlılıktan (doğrudan ve geçişli) yararlanarak el ile güvenlik değerlendirmesini imkansız hale getirir ve savunmasız kitaplıklar aracılığıyla kapsamlı saldırı yüzeyi oluşturur. Sürekli izleme ile otomatik bağımlılık taraması, kuruluşların güvenlik açıklarını açıklardan yararlanmadan önce algılamasını ve düzeltmesini sağlar.

Şu temel özelliklerle sürekli bağımlılık güvenliği oluşturun:

  • Kapsamlı görünürlük ve SBOM oluşturma: Üç temel özellik ile sürekli bağımlılık güvenlik yönetimi oluşturun: kapsamlı görünürlük, otomatik güvenlik açığı algılama ve proaktif düzeltme. Tüm depolarda hem doğrudan bağımlılıkları (paket bildirimlerinde açıkça bildirilmiş) hem de geçişli bağımlılıkları (bağımlılık bağımlılıkları) eşleyen tam bağımlılık envanterleri oluşturarak başlayın. Mevzuat uyumluluğu ve olay yanıtı hazırlığı için Yazılım Malzeme Listesi'nin (SBOM) endüstri standardı biçimlerde (SPDX, CycloneDX) korunması.

  • Otomatik güvenlik açığı tarama ve düzeltme uygulama: Ulusal Güvenlik Açığı Veritabanı (NVD), GitHub Danışmanlık Veritabanı ve dile özgü güvenlik danışmanlarına karşı bağımlılıkları sürekli izleyen otomatik güvenlik açığı taraması uygulayın. Yeni CVE'ler açıklandığında bağımlılık yığınınızı etkileyen gerçek zamanlı uyarıları yapılandırın ve uygun ekiplere önem düzeyi tabanlı yönlendirme yapın. Bağımlılık sürümü yükseltmeleri ile çekme istekleri oluşturan, uyumluluk testi ve gelişmiş çakışma çözümünü içeren otomatik güvenlik güncelleştirme yeteneğini etkinleştirerek el ile düzeltme yükünü azaltın.

  • Güvenlik doğrulamasını geliştirme iş akışlarına entegre etme: Bağımlılık değişikliklerinin güvenlik üzerindeki etkisini otomatik olarak değerlendiren ve bilinen güvenlik açıkları, lisans uyumluluğu sorunları veya şüpheli özelliklere (yazım tuzakları, bakımcı itibar eksikliği) sahip yeni bağımlılıkları işaretleyen çekme isteği incelemeleri aracılığıyla, bağımlılık güvenliği doğrulamasını doğrudan geliştirme iş akışlarına entegre edin. Yüksek riskli bağımlılık değişiklikleri için onay geçitleri oluşturun ve kritik güvenlik açıklarına sahip bağımlılıkların korumalı dallarla birleştirilmesini yasaklayan ilkeler uygulayın.

  • Görünürlüğü üretim ortamlarına genişletme: Kod bağımlılıklarını çalışan iş yükleriyle ilişkilendirmek, bağımlılık zincirleri aracılığıyla saldırı yollarını belirlemek ve yalnızca teorik risk yerine gerçek üretim maruziyetine göre düzeltmeye öncelik vermek için Bulut için Microsoft Defender DevOps Security gibi araçları kullanarak kaynak kodun ötesinde görünürlüğü dağıtılan ortamlara genişletin. GitHub Advanced Security gibi araçlar kapsamlı bağımlılık grafı görselleştirmesi, Dependabot temelli otomatik güncelleştirmeler ve özel paket ekosistemleri için özel güvenlik açığı deseni desteği sağlar.

Uygulama örneği

Bir sağlık kuruluşu, üretim uygulamasında hasta verilerini aylar boyunca dışarı aktaran kötü amaçlı npm paketi keşfetti. Araştırma, kritik Log4Shell güvenlik açığı da dahil olmak üzere bilinen CVE'lere yönelik kapsamlı güvenlik açığı bağımlılıklarını ortaya çıkardı.

Zorluk: Güvenlik açıklarına veya kötü amaçlı paketlere dair görünürlük olmadan yüzlerce depoda binlerce bağımlılık bulunması. Uygulama başına haftalar süren bağımlılıkların elle gözden geçirilmesi. Mevzuat denetimi kritik tedarik zinciri boşluklarını tanımladı.

Çözüm yaklaşımı:

  • Otomatik güvenlik açığı yönetimi:GitHub Gelişmiş Güvenliği, Dependabot tarafından bağımlılıkların taranmasıyla etkinleştirildi ve güvenlik güncelleştirmeleri için otomatik olarak çekme istekleri oluşturuldu.
  • Tedarik zinciri saydamlığı: Mevzuat uyumluluğu ve olay yanıtı için SPDX biçiminde Yazılım Malzeme Listesi oluşturan Microsoft SBOM aracı uygulandı.
  • Paket doğrulama: İmza doğrulama ve bağımlılık sabitleme ile yapılandırılan Azure Artifacts , karışıklık saldırılarını ve yetkisiz paket değişimini önler.
  • DevOps güvenlik izlemesi: Koddan buluta izlenebilirlik sağlamak için Microsoft Defender for Cloud DevOps Security dağıtıldı.

Sonuç: Kapsamlı güvenlik açığı olan bağımlılıklar hızla algılandı ve düzeltildi. Otomatik doğrulama aracılığıyla birden çok kötü amaçlı paket olayını engelledi. Kapsamlı SBOM belgeleriyle mevzuat uyumluluğu elde edilir.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: SR-3, SR-4, SR-6, SA-12, SA-15(9), RA-5
  • PCI-DSS v4: 6.2.4, 6.3.2, 6.3.3
  • CIS Denetimleri v8.1: 16.1, 16.2, 16.11
  • NIST CSF v2.0: ID.SC-2, ID.SC-4, DE.CM-8
  • ISO 27001:2022: A.5.19, A.5.22, A.5.23
  • SOC 2: CC3.2, CC8.1

DS-3: DevOps altyapısının güvenliğini sağlama

Güvenlik ilkesi

Kapsamlı gizli bilgi yönetimi, onay geçitleriyle işlem hattı erişim denetimleri, güvenli yapı aracısı yapılandırması ve sürekli izleme aracılığıyla yapı altyapısı için derinlemesine savunma uygulayın. Yazılım geliştirme ve dağıtım işleminin bütünlüğünü korumak için sabit kodlanmış kimlik bilgilerini ortadan kaldırın ve en az ayrıcalıklı erişimi zorunlu kılın.

Azaltma riski

Güvenli olmayan DevOps altyapısı, saldırganların yazılım teslim zincirinin tamamını tehlikeye atmak için yararlanan kritik güvenlik açıkları oluşturur. Kapsamlı altyapı güvenliği olmadan:

  • Güvenliği aşılmış CI/CD işlem hatları: Saldırganlar çalınmış kimlik bilgileri, açıklardan yararlanılan güvenlik açıkları veya içeriden erişim yoluyla işlem hatları oluşturma erişimi elde ederek kod ekleme, yapıt üzerinde değişiklik yapma veya tüm aşağı akış tüketicilerini etkileyen dağıtım işleme işlemlerini etkinleştirir.
  • Derleme günlüklerinde ve yapılarda açığa çıkarılan sırlar: Sabit kodlanmış kimlik bilgileri, API anahtarları, sertifikalar ve bağlantı dizeleri işlem hattı günlükleri, hata iletileri veya derlenmiş yapılar aracılığıyla sızarak saldırganlara üretim ortamlarına doğrudan erişim sağlar.
  • Yetkisiz işlem hattı değişiklikleri: Değişiklik denetimi ve onay iş akışlarının olmaması, kötü amaçlı aktörlerin işlem hattı tanımlarını değiştirmesine, kötü amaçlı derleme adımları eklemesine veya dağıtım yapılandırmalarını algılamadan değiştirmesine olanak tanır.
  • Yetersiz erişim denetimleri: Aşırı izinli rol atamaları ve görev ayrımı eksikliği, DevOps altyapısında yanal hareket, ayrıcalık yükseltme ve kalıcı erişim kurulmasını sağlar.
  • Güvenli olmayan derleme aracıları: Eşleşmeyen, yanlış yapılandırılmış veya güvenliği aşılmış derleme aracıları, saldırganlara derleme ortamına kalıcı erişim ve üretim ağlarına yönelik olası pivot noktaları sağlar.
  • Eksik denetim izleri: DevOps etkinliklerinin yetersiz günlüğe kaydedilmesi ve izlenmesi yetkisiz erişimin, şüpheli değişikliklerin veya şirket içi tehditlerin algılanmasını önler.

Altyapı güvenliğinin aşılmasına, saldırganların kaynağa kod eklemesini, güvenilen işlem hatlarını atlamasına ve her aşağı akış uygulamasını etkilemesini sağlar.

MITRE ATT&CK

  • İlk Erişim (TA0001): DevOps platformlarına ve işlem hatlarına erişmek için çalınan kimlik bilgilerini veya hizmet sorumlusu gizli dizilerini kullanan geçerli hesaplar (T1078).
  • Kalıcılık (TA0003): Arka kapı hizmet ilkeleri, kişisel erişim belirteçleri veya SSH anahtarları oluşturarak erişimi sürdürmek için hesap manipülasyonu (T1098).
  • Kimlik Bilgisi Erişimi (TA0006): güvenli olmayan kimlik bilgileri (T1552.001) işlem hattı günlüklerinden, ortam değişkenlerinden veya yapılandırma dosyalarından gizli bilgilerin toplanması.
  • Savunmadan Kaçınma (TA0005): Güvenlik tarama işlemlerini, denetim günlüğünü veya onay geçitlerini devre dışı bırakarak, işlem hattı tanımlarında savunmayı (T1562) bozar.

DS-3.1: Dağıtım Hatları için Sır Yönetimini Uygulayın

Merkezi gizli dizi yönetimi kod, yapılandırma dosyaları ve işlem hattı tanımlarından sabit kodlanmış gizli dizileri kaldırarak DevOps işlem hatlarında kimlik bilgilerinin açığa çıkarılmasına engel olur. İşlem hattı YAML'sine, ortam değişkenlerine veya kaynak depolarına eklenmiş kimlik bilgileri, işlem hattı güvenliğinin aşılması için birincil saldırı vektörlerini temsil eder ve depolara veya günlüklere erişim elde eden saldırganların üretim kimlik bilgilerini ayıklamasına olanak tanır. Dinamik alma ve tam zamanında erişim desenleri ile şifreleme korumalı gizli depolamanın uygulanması, işletimsel verimliliği korurken kimlik bilgisi hırsızlığını önler.

Gizli bilgilerin yönetimini şu güvenlik denetimleriyle yapılandırın:

  • Merkezi depolama ile sabit kodlanmış kimlik bilgilerini ortadan kaldırın: Şifreleme erişim denetimleri ve kapsamlı denetim izleriyle ayrılmış gizli dizi yönetimi altyapısındaki tüm gizli dizileri merkezileştirerek işlem hattı tanımlarından ve kaynak kodundan sabit kodlanmış kimlik bilgilerini ortadan kaldırın. Gizli dizilerin hiçbir zaman işlem hattı YAML dosyalarında, günlüklerde görünen ortam değişkenlerinde veya depolardaki yapılandırma dosyalarında depolanmaması gerektiğini ilke edin. Bunlar, DevOps ortamlarında kimlik bilgilerinin açığa çıkmasına yönelik birincil vektörlerdir.

  • Yönetilen kimliklerle dinamik gizli dizi almayı yapılandırın: Şifrelenmiş gizli dizi depolama, ayrıntılı erişim ilkeleri, otomatik gizli dizi döndürme ve kapsamlı denetim günlüğü sağlayan Azure Key Vault gibi çözümleri kullanarak merkezi gizli dizi depolamayı uygulayın. işlem hatlarını yapılandırarak çalışma zamanında dinamik olarak güvenli hizmet bağlantıları aracılığıyla gizli bilgileri almalarını sağlayın, bunları işlem hattı tanımlarına dahil etmeyin. Gizli depo erişiminin işlem hattı kimliğini doğrulamak için yönetilen kimlikler veya iş yükü kimlik federasyonu kullanın; bu da çalınma riski taşıyan uzun süreli hizmet sorumlusu kimlik bilgilerine duyulan gereksinimi ortadan kaldırır.

  • Onay geçitleriyle tam zamanında erişimi zorunlu hale getirin: Kimlik bilgilerinin yaşam süresini en aza indirmek için işlem hattı tamamlandıktan sonra otomatik iptal ile gizli bilgilere yalnızca gerektiğinde erişilen tam zamanında gizli bilgi erişim desenlerini zorunlu tutun. Zamana bağlı erişim kısıtlamaları uygulayın ve üretim gizli dizilerine işlem hattı erişimi için çok kişili yetkilendirme (onay geçitleri) gerektirerek, güvenliği aşılmış tek bir hesabın ek doğrulama olmadan hassas kimlik bilgilerine erişememesini sağlayın.

  • Katmanlı altyapı erişim denetimleri oluşturun: DevOps altyapısı için katmanlı erişim denetimleri oluşturun: güvenlik gözden geçirilmiş personel için işlem hattı değişiklik haklarını kısıtlayın, üretim dağıtımları için onay gerektiren ortama özgü izinleri zorunlu tutun, işlem hatlarının hedeflenen kapsam dışındaki gizli dizilere erişmesini engelleyen depo düzeyinde hizmet bağlantısı kısıtlamaları uygulayın ve hassas iş yükleri için ağ yalıtımı ile sağlamlaştırılmış şirket içinde barındırılan derleme aracıları dağıtın. Gizli dizileri açığa çıkarabilecek veya yetkisiz erişim yolları oluşturabilecek yanlış yapılandırılmış kaynakların dağıtımını önlemek için kod olarak altyapı güvenlik taramasını işlem hatlarıyla tümleştirin.

Uygulama örneği

Saldırganlar üretim veritabanlarına erişmek için işlem hattı günlüklerinde bulunan çalınmış hizmet sorumlusu kimlik bilgilerini kullandığında milyonlarca müşteri kaydı ortaya çıktığında perakende kuruluşu ihlale uğradı.

Sorun: İşlem hattı değişkenlerinde sabitlenmiş veritabanı bağlantı dizeleri ve API anahtarları. Aşırı derecede izin verilmiş işlem hattı yetkileri, herhangi bir geliştiricinin üretim ortamına dağıtım yapmasına izin verdi. Yapı aracısının güvenliğinin ihlali altyapıya sürekli erişim sağladı.

Çözüm yaklaşımı:

  • Merkezi gizli dizi yönetimi: İşlem hatlarından sabit kodlanmış gizli dizileri ortadan kaldırarak Azure Key Vault tümleştirmesi uygulandı. Kimlik bilgilerinin açığa çıkarılma riskini kaldırarak yönetilen kimlik doğrulaması yapılandırıldı.
  • İşlem hattı erişim denetimleri: Üretim dağıtımları için güvenlik ekibi onayı gerektiren Azure DevOps Ortamları kullanılarak onay geçitleri ve ortama özgü izinler oluşturuldu.
  • Güçlendirilmiş derleme aracıları: Düzenlemelere tabi verileri işleyen hassas iş yükleri için güvenlik güçlendirme ve ağ yalıtımı ile kendi kendine barındırılan aracılar dağıtıldı.
  • Altyapı güvenlik taraması: ARM şablonları ve Terraform yapılandırmaları için tümleşik güvenlik doğrulaması, yanlış yapılandırma dağıtımlarını önler.

Sonuç: Kimlik bilgisi hırsızlığını önlemek için işlem hattı günlüklerinden gizli bilgiler kaldırıldı. Yetkisiz üretim dağıtımları ortadan kaldırıldı. Dağıtımdan önce altyapı yanlış yapılandırmaları algılandı ve engellendi.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: AC-2, AC-3, AC-6, SC-12, SC-13, AU-2, AU-6
  • PCI-DSS v4: 8.3.2, 8.6.1, 8.6.3, 12.3.3
  • CIS Denetimleri v8.1: 4.1, 4.7, 6.1, 6.5
  • NIST CSF v2.0: PR. AC-4, PR. DS-5, DE. CM-7
  • ISO 27001:2022: A.5.15, A.5.16, A.8.3
  • SOC 2: CC6.1, CC6.6, CC6.7

DS-4: Statik Uygulama Güvenliği Testlerini (SAST) Tümleştirme

Güvenlik ilkesi

Her bir derleme sürecine entegre edilmiş birden fazla özelleştirilmiş Statik Uygulama Güvenliği Testi (SAST) tarayıcıları aracılığıyla kapsamlı otomatik güvenlik testleri uygulayın. Kapsamlı algılama için çoklu tarayıcı kapsama alanı kullanın, push koruması ile gizli bilgiler taraması uygulayın ve güvenlik açıklarını üretime ulaşmadan önce tanımlamak ve engellemek için anlamsal kod analizini kullanın.

Azaltma riski

Geliştirme sırasında algılamadan kaçan kod düzeyi güvenlik açıkları, saldırganların sistematik olarak yararlanan kalıcı güvenlik açıkları oluşturur. Kapsamlı SAST tümleştirmesi olmadan:

  • Ekleme güvenlik açıkları: SQL ekleme, siteler arası betik oluşturma (XSS), komut ekleme ve LDAP ekleme açıkları, saldırganların uygulama mantığını işlemesine, hassas verileri ayıklamasına veya rastgele kod yürütmesine olanak tanır.
  • Sabit kodlanmış kimlik bilgileri: Geliştiriciler istemeden kaynak kod depolarına parolalar, API anahtarları, sertifikalar ve bağlantı dizeleri işleyerek saldırganlara üretim sistemlerine ve verilerine doğrudan erişim sağlar.
  • Güvenli olmayan şifreleme uygulamaları: Zayıf şifreleme algoritmaları (DES, MD5), sabit kodlanmış şifreleme anahtarları, yanlış başlatma vektörleri veya yetersiz anahtar uzunlukları veri gizliliğini ve bütünlüğünü tehlikeye atabilir.
  • Arabellek taşması ve bellek bozulması: C/C++ uygulamalarında güvenli olmayan bellek işlemleri rastgele kod yürütme, ayrıcalık yükseltme ve hizmet reddi saldırılarına olanak tanır.
  • İş mantığı kusurları: Kimlik doğrulama atlamaları, yetkilendirme boşlukları, yarış koşulları ve yetersiz giriş doğrulaması ayrıcalık yükseltme, sahtekarlık ve yetkisiz erişimi etkinleştirir.
  • Kod Olarak Altyapı (IaC) yanlış yapılandırmaları: Güvenli olmayan Terraform, ARM şablonları veya Kubernetes bildirimleri aşırı izinli erişim, eksik şifreleme veya kullanıma sunulan yönetim uç noktalarıyla güvenlik açığı bulunan altyapıyı dağıtır.

Otomatik SAST olmadan, güvenlik açıkları teknik borç olarak birikir, bekleme süresini uzatır ve üretimde düzeltme maliyetine neden olur.

MITRE ATT&CK

  • İlk Erişim (TA0001): Uygulama kodunda enjeksiyon güvenlik açıkları veya kimlik doğrulama atlamalarından yararlanarak kamuya açık uygulamaları sömürmek (T1190).
  • Yürütme (TA0002): XSS veya güvenli olmayan seri durumdan çıkarma gibi istemci tarafı güvenlik açıklarından yararlanan istemci yürütme (T1203) için yararlanma.
  • Kimlik Bilgisi Erişimi (TA0006): Kaynak koddan, yapılandırma dosyalarından veya derlenmiş ikili dosyalardan sabit kodlanmış kimlik bilgilerini ayıklayan parola depolarından (T1555) kimlik bilgileri.
  • Ayrıcalık Yükseltme (TA0004): Yükseltilmiş erişim sağlamak için arabellek taşmalarından veya bellek bozulmasından yararlanarak ayrıcalık yükseltme (T1068) gerçekleştirme.

DS-4.1: Birden Fazla Tarayıcı İçeren SAST Boru Hattı Uygulamak

Her derlemeye tümleştirilmiş kapsamlı statik uygulama güvenliği testi, kod düzeyi güvenlik açıklarının üretim ortamlarına ulaşmadan önce algılanması sağlar. Modern uygulamalar özel çözümleyiciler gerektiren farklı diller, çerçeveler ve kod olarak altyapı kullanır. Tek bir tarayıcı tüm güvenlik açığı sınıflarını algılamaz. Özel araçları otomatik yürütme ve kalite kapılarıyla birleştiren çok katmanlı SAST stratejileri kapsamlı bir kapsam sağlarken, güvenlik sorunları algılandığında geliştiricilere anında geri bildirim sağlar.

Şu bileşenlerle otomatik güvenlik testi uygulayın:

  • Çok katmanlı tarama stratejisini uygulayın: Kod üretime ulaşmadan önce güvenlik açıklarını algılamak için her derlemeye otomatik statik uygulama güvenlik testi ekleyin. Birden çok özel tarayıcıyı birleştiren çok katmanlı bir SAST stratejisi uygulayın; tek bir araç tüm güvenlik açığı sınıflarını algılamaz, bu nedenle kapsamlı kapsam için dile özgü çözümleyiciler (Python, JavaScript, C/C++), kod olarak altyapı tarayıcıları (Terraform, ARM şablonları, Kubernetes bildirimleri), gizli dizi algılama ve karmaşık veri akışı güvenlik açıkları için anlam kodu analizi gerekir.

  • Kalite geçitleriyle otomatik yürütmeyi yapılandırın: SAST taramasını her işleme ve çekme isteğinde otomatik olarak yürütülecek şekilde yapılandırarak geliştiricilere kod bağlamı yeniyken güvenlik sorunları hakkında anında geri bildirim sağlar. Kritik veya yüksek önem dereceli güvenlik açıkları algılandığında birleştirmeleri veya dağıtımları engelleyen önem düzeyi tabanlı kalite geçitleri oluşturarak güvenlik açığı bulunan kodun işlem hattında ilerlemesini önleyin. Tarayıcıları, bulguları standart biçimlerde (SARIF) çıktılara dönüştürecek şekilde yapılandırarak tutarlı güvenlik açığı izleme, araçlar arasında yinelenenleri kaldırma ve merkezi güvenlik panolarıyla entegrasyon sağlayın.

  • Gizli taramayı push koruması ile dağıtma: Geliştiricilerin kimlik bilgilerini, API anahtarlarını, sertifikaları veya belirteçleri depolara işleme sırasında yakalayan ve bu sayede haftalar sonra denetim gözden geçirmelerinde bulunmalarını önleyen push koruması ile özel gizli tarama uygulayın. Özel kimlik doğrulama mekanizmaları için hem standart gizli dizi desenlerini (AWS anahtarları, Azure belirteçleri, veritabanı bağlantı dizeleri) hem de kuruluşa özgü özel desenleri destekler. Gizli bilgiler algılandığında, kimlik bilgisi değiştirme yordamları ve güvenli alternatifler de dahil olmak üzere anında düzeltme yönergeleri sağlayın.

  • Karmaşık güvenlik açıkları için anlamsal kod analizini kullanın:GitHub CodeQL gibi, birden çok işlev çağrısı aracılığıyla SQL ekleme, iş mantığında kimlik doğrulaması atlamaları veya güvenli olmayan seri durumdan çıkarma zincirleri gibi desen eşleştirme tarayıcılarına görünmeyen karmaşık güvenlik açıklarını belirlemek için derin veri akışı analizi gerçekleştiren anlamsal kod analizi araçları dağıtın. Kuruluşunuzun çerçevelerine, güvenlik gereksinimlerine ve olay geçmiş değerlendirmelerinde tanımlanan yaygın güvenlik açığı desenlerine göre uyarlanmış özel güvenlik sorguları oluşturun. Belirli satır numaraları, güvenlik açığı açıklamaları ve düzeltme önerileri içeren çekme isteği yorumlarıyla SAST bulgularını doğrudan geliştiricilerin iş akışlarına entegre edin.

  • Birleşik platformlarla düzenleme:Microsoft Security DevOps Uzantısı gibi birleşik SAST platformları, yapılandırma yönetimini standartlaştırarak ve heterojen araç ekosistemlerinde sonuç toplamayı standartlaştırarak tek bir işlem hattı görevi aracılığıyla birden çok özel tarayıcıyı (Kötü Amaçlı Yazılımdan Koruma, Eşkıya, BinSkim, Checkov, ESLint, Şablon Çözümleyicisi, Terrascan, Trivy) düzenleyebilir.

Uygulama örneği

Bir SaaS sağlayıcısı, yüz binlerce müşteri kaydını ortaya çıkarmak için SQL ekleme saldırısına uğradı. Olay sonrası analiz, sabit kodlanmış kimlik bilgileri ve aylar boyunca var olan ekleme açıkları dahil olmak üzere kapsamlı kod düzeyinde güvenlik açıkları ortaya çıkardı.

Zorluk: El ile yapılan kod incelemeleri, güvenlik açıklarının yalnızca küçük bir kısmını tespit etti. Geliştiriciler, ekleme kusurlarını ve şifreleme zayıflıklarını belirlemek için güvenlik eğitiminden yoksundu. Üretim dağıtımı öncesinde otomatik tarama yok.

Çözüm yaklaşımı:

  • Çok tarayıcılı SAST: CodeQL, ESLint ve Bandit ile Dağıtılan Microsoft Güvenlik DevOps Uzantısı , diller ve güvenlik açığı türleri arasında kapsamlı kapsam sağlar.
  • Gizli dizi koruması: GitHub Advanced Security'yi gizli dizi tarama ve gönderme koruması ile uygulayarak işlemelerde kimlik bilgilerinin açığa çıkmasını engelledi.
  • Anlam analizi:GitHub CodeQL iş mantığı güvenlik açıkları ve çerçeveye özgü güvenlik desenleri için özel sorgularla yapılandırıldı.
  • Güvenlik geçitleri:Azure Pipelines'da oluşturulan işlem hattı geçitleri, yüksek önem düzeyine sahip bulguların dağıtımını engelliyor.

Sonuç: Kapsamlı güvenlik açıklarını hızla tanımlayıp düzeltildi. Kritik güvenlik açıklarının üretime ulaşmasını engelledi. Önemli ölçüde azaltılmış güvenlik borcu.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: SA-11, RA-5, SI-2
  • PCI-DSS v4: 6.3.2, 6.4.1, 11.3.1
  • CIS Kontrolleri v8.1: 16.3, 16.6
  • NIST CSF v2.0: PR.IP-2, DE.CM-4
  • ISO 27001:2022: A.8.25, A.8.29
  • SOC 2: CC7.1, CC7.2

DS-5: Dinamik Uygulama Güvenliği Testini (DAST) Tümleştirme

Güvenlik ilkesi

Kapsayıcılı iş yükleri için kapsayıcı güvenliği taraması, web uygulamaları için otomatik sızma testi ve Uygulama Programlama Arabirimleri (API'ler) ile kimlik doğrulaması, yetkilendirme ve oturum yönetimi için özelleştirilmiş test aracılığıyla üretim öncesi ortamlarda kapsamlı dinamik güvenlik testi uygulayın. Çalışma zamanı doğrulaması, statik analizin algılayamayacağı yapılandırma zayıflıklarını ve tümleştirme güvenlik açıklarını tanımlar.

Azaltma riski

Statik analize görünmeyen çalışma zamanı güvenlik açıkları, uygulamalar dağıtıldıktan sonra saldırganların yararlanacağı kritik güvenlik açıkları oluşturur. Kapsamlı DAST olmadan:

  • Dağıtım yapılandırmasında zayıflıklar: Yanlış yapılandırılmış kimlik doğrulama sağlayıcıları, izinli CORS, zayıf TLS yapılandırmaları veya eksik güvenlik üst bilgileri (CSP, HSTS, X-Frame-Options) kaynak gözden geçirmenin algılayamayacağı saldırılara olanak tanır.
  • API güvenlik boşlukları: Kimlik doğrulama atlamaları, yetkilendirme hataları, aşırı veri kullanımı, eksik hız sınırlaması veya güvenli olmayan doğrudan nesne başvuruları (IDOR) ile REST ve GraphQL API'leri yetkisiz erişim ve veri ayıklamaya izin verir.
  • Kimlik doğrulaması ve yetkilendirme atlamaları: Oturum yönetimi, parola sıfırlama akışları, çok faktörlü kimlik doğrulama uygulaması veya rol tabanlı erişim denetimi mantığındaki kusurlar ayrıcalık yükseltme ve hesap devralma işlemlerini etkinleştirir.
  • Oturum yönetimi güvenlik açıkları: Öngörülebilir oturum belirteçleri, yetersiz zaman aşımı zorlaması, oturum düzeltme güvenlik açıkları veya eksik belirteç iptali, oturum ele geçirmeyi ve kimlik bilgisi hırsızlığını etkinleştirir.
  • Ortama özgü güvenlik sorunları: Veritabanları, ileti kuyrukları, dış API'ler veya üçüncü taraf hizmetlerle tümleştirme noktaları, geliştirme veya yalıtılmış testlerde görünmeyen çalışma zamanı güvenlik açıklarına neden olur.
  • İş mantığı kusurları: Yarış koşulları, durum işleme güvenlik açıkları, karmaşık iş akışlarında yetersiz giriş doğrulaması veya işlem bütünlüğü sorunları sahtekarlığa ve veri işlemeye olanak tanır.

DAST, çalışma zamanı davranışını, ortam yapılandırmasını ve entegrasyon güvenliğini doğrular; bu, statik analizle sağlanamayan bir kapsama alanıdır.

MITRE ATT&CK

  • İlk Erişim (TA0001): Çalışma zamanı testi aracılığıyla tespit edilen kimlik doğrulama atlamaları, enjeksiyon açıkları veya güvenli olmayan API uç noktalarından yararlanarak kamuya açık uygulamalardan (T1190) yararlanma.
  • Kimlik Bilgisi Erişimi (TA0006): deneme yanılma (T1110) eksik hız sınırlama, zayıf parola ilkeleri veya DAST sırasında algılanan öngörülebilir oturum belirteçlerinden yararlanır.
  • Ayrıcalık Yükseltme (TA0004): geçerli hesaplar (T1078) kötü amaçlı yetkilendirme atlamaları veya dağıtılan uygulamalarda rol işleme güvenlik açıkları.
  • Koleksiyon (TA0009): Aşırı API yanıtları, dizin geçişi veya güvenli olmayan doğrudan nesne başvurusu güvenlik açıkları aracılığıyla hassas verileri ayıklayan bilgi depolarından (T1213) veriler.
  • Sızdırma (TA0010): algılama olmadan büyük ölçekte veri ayıklamak için API güvenlik boşluklarından yararlanan web hizmeti (T1567) üzerinden sızdırma.

DS-5.1: Üretim Öncesi Ortamda Otomatik DAST Uygulama

Dinamik uygulama güvenlik testi, çalışan uygulamalardaki güvenlik denetimlerini doğrular ve statik analizin algılayamayacağı çalışma zamanı güvenlik açıklarını bulur. SAST kaynak kodunu incelese de DAST, uygulamaları üretime benzer yapılandırmalarla dağıtarak kimlik doğrulaması yanlış yapılandırmaları, yetkilendirme açıkları ve yalnızca işletim ortamlarında bildirimde bulunan tümleştirme güvenlik açıkları gibi dağıtıma özgü sorunları tanımlar. Üretim öncesi otomatik DAST, tümleşik sistemlere karşı gerçekçi saldırı senaryolarını test ederken müşterinin kullanıma sunulmadan önce güvenlik doğrulamasını sağlar.

Bu özellikler aracılığıyla çalışma zamanı güvenlik doğrulaması uygulayın:

  • SAST'i çalışma zamanı doğrulamasıyla tamamla: Üretim benzeri yapılandırmalarla çalışan uygulamalarda güvenliği doğrulayan dinamik uygulama güvenliği testi ile statik analizi tamamlar. SAST kaynak kodundaki güvenlik açıklarını tanımlasa da DAST, statik analizde görünmeyen çalışma zamanı sorunlarını keşfeder: dağıtım yapılandırma zayıflıkları (yanlış yapılandırılmış kimlik doğrulama sağlayıcıları, izin veren CORS ilkeleri, eksik güvenlik üst bilgileri), ortama özgü tümleştirme açıkları (veritabanı bağlantısı güvenliği, dağıtılan bağlamlarda API yetkilendirmesi) ve yalnızca gerçekçi çalışma koşullarında ortaya çıkar.

  • Üretim benzeri hazırlama ortamlarında dağıtın: Üretim mimarisini, ağ topolojisini, dış bağımlılıkları ve yapılandırma parametrelerini yansıtan üretim öncesi hazırlama ortamlarında DAST taramasını dağıtın. Otomatik DAST yürütmesi, kimlik doğrulama akışlarını, yetkilendirme sınırlarını, oturum yönetimini, giriş doğrulamayı, API güvenliğini ve hata işlemeyi gerçekçi yük ve kullanım desenleri altında hazırlamaya, sistematik olarak test etmeye dağıtım sırasında tetiklenmelidir. Bu, üretim benzeri dış sistemlerle (kimlik sağlayıcıları, veritabanları, ileti kuyrukları, üçüncü taraf API'ler) tümleştirildiğinde güvenlik denetimlerinin düzgün çalıştığını doğrular.

  • Kapsayıcılar için çalışma zamanı izleme uygulama: Kapsayıcılı iş yükleri için, dağıtım öncesi görüntü taramayı dağıtım sonrası davranış analiziyle birleştiren sürekli çalışma zamanı güvenlik izlemesi uygulayın. Dağıtımdan önce kapsayıcı görüntülerini bilinen güvenlik açıkları için tarayın, ardından anormal ağ bağlantıları, yetkisiz işlem yürütme, dosya sistemi değişiklikleri ve ayrıcalık yükseltme girişimleri için çalışan kapsayıcıları izleyin. Kubernetes iş yüklerinin normal davranışını profilleyin, böylece güvenliğin tehlikeye girdiğini gösteren sapmaları algılayın ve kapsayıcı yapılandırmalarını, CIS standartları ve en iyi güvenlik uygulamalarına göre sürekli olarak değerlendirin.

  • Yüksek riskli saldırı yüzeylerine odaklanın: Özel DAST çalışmalarını yüksek riskli saldırı yüzeylerine odaklayın: REST ve GraphQL API'leri (test kimlik doğrulaması atlamaları, yetkilendirme hataları, ekleme güvenlik açıkları, aşırı veri maruziyeti, güvensiz doğrudan nesne başvuruları), kimlik doğrulaması ve oturum yönetimi (belirteç güvenliğini doğrulama, zaman aşımı zorlaması, oturum kapatma işlevselliği, parola sıfırlama akışları, çok faktörlü kimlik doğrulaması) ve iş mantığı iş akışları (yarış koşulları için test, durum işleme, işlem bütünlüğü sorunları için test). Her iki yaklaşımdan elde edilen bulguları birleştiren SAST/DAST bağıntı iş akışları oluşturun ve en yüksek risk olarak hem statik hem de dinamik analizle onaylanan güvenlik açıklarının önceliklerini belirleyin.

  • Tümleşik platformları kullanma: Kapsayıcılı ortamlar için Kapsayıcılar için Microsoft Defender kapsayıcı yaşam döngüsü boyunca tümleşik çalışma zamanı güvenlik açığı değerlendirmesi, iş yükü profili oluşturma ve tehdit algılama özellikleri sağlar.

Uygulama örneği

Bir e-ticaret kuruluşu, yetkisiz indirimlere izin veren ödeme API'sinde kimlik doğrulama atlamasını keşfetti. SAST, yalnızca dış kimlik doğrulama sağlayıcılarıyla dağıtılan ortamlarda kendini gösteren çalışma zamanı yapılandırma kusurunu atladı.

Sorun: SAST, kod güvenlik açıklarını tespit etti ancak çalışma zamanı yapılandırmasındaki sorunları ve API yetkilendirme açıklarını atladı. Üretim ortamı yapılandırması, geliştirme ortamından farklılık göstererek statik analizle tespit edilemeyen güvenlik açıkları yarattı.

Çözüm yaklaşımı:

  • Otomatik DAST taraması: Üretim öncesi ortamlarda dağıtılan OWASP ZAP , dağıtılan uygulamaları üretim benzeri yapılandırmalarla test eder.
  • Kapsayıcı çalışma zamanı koruması: Çalışma zamanı güvenlik izleme ve güvenlik açığı değerlendirmesi için Kapsayıcılar için Microsoft Defender uygulandı.
  • API güvenlik testi: Dağıtılan REST ve GraphQL uç noktalarındaki kimlik doğrulama, yetkilendirme ve veri doğrulamayı doğrulayarak özelleştirilmiş API testi yapılandırıldı.
  • SAST/DAST bağıntısı: Kapsamlı güvenlik doğrulaması için statik ve dinamik bulguları birleştiren güvenlik açığı bağıntı iş akışları oluşturuldu.

Sonuç: Kimlik doğrulama atlamaları ve API yetkilendirme açıkları dahil olmak üzere SAST ile tespit edilemeyen çalışma zamanı sırasında güvenlik açıkları bulundu. Üretim öncesi algılama yoluyla güvenlik olayları engellendi.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: SA-11, CA-8, RA-5
  • PCI-DSS v4: 6.4.2, 11.3.2
  • CIS Denetimleri v8.1: 16.7, 16.8
  • NIST CSF v2.0: DE.CM-4, PR.IP-12
  • ISO 27001:2022: A.8.29, A.8.30
  • SOC 2: CC7.1, CC7.3

DS-6: İş yükü yaşam döngüsünün güvenliğini sağlama

Azure İlkesi: Bkz . Azure yerleşik ilke tanımları: DS-6.

Güvenlik ilkesi

tr-TR: Kapsayıcı kayıt defterleri ve kapsayıcı iş yükleri için güvenlik taraması, Sanal Makine (VM) iş yükleri için altın görüntü yönetimi ve otomatik inşa süreçleri ile, ayrıca otomatik karantina işlevi ile sürekli güvenlik açığı taraması yapılarak kapsamlı görüntü güvenliği sağlayan değişmez altyapıyı uygulayın. Şifreleme imzalarını doğrulayın, en düşük temel görüntüleri koruyun ve iş yükü yaşam döngüsü boyunca güvenlik temellerini zorunlu kılın.

Azaltma riski

Güvenli olmayan iş yükü yaşam döngüsü yönetimi, savunmasız veya güvenliği aşılmış yapıtların üretime ulaşmasını sağlayarak saldırganların sistematik olarak yararlanan kalıcı saldırı vektörleri oluşturmasına olanak tanır. Kapsamlı iş yükü güvenliği olmadan:

  • Güvenlik açığı bulunan üretim VM görüntüleri: Güncellenmemiş işletim sistemi tabanları veya yanlış yapılandırılmış altın görüntüler, tüm dağıtılmış VM'lerde zayıflıkları yayar.
  • Yaması olmayan güvenlik açığı bulunan temel görüntüler: Log4Shell, Heartbleed, OpenSSL gibi CVE'nin etkilediği temeller üzerine kurulan kapsayıcılar, iş yüklerinin istismarına ve kaçışına maruz kalmasına neden olur.
  • Eski güvenlik açıklarına sahip bileşenler: Taramadan geçirilen ve birikmiş CVE'lere sahip olan görüntüler ve paketler, saldırı yüzeyini genişletir.
  • Yetersiz görüntü doğrulaması: Şifreleme imzalama ve kanıtlanmışlık doğrulamasının olmaması, saldırganların yasal görüntüleri arka kapı veya kötü amaçlı yazılım içeren güvenliği aşılmış sürümlerle değiştirmesine olanak tanır.
  • Şişirilmiş saldırı yüzeyi: Gereksiz paketler, geliştirme araçları veya hata ayıklama yardımcı programları içeren kapsayıcı görüntüleri güvenlik açığı riskini artırır ve saldırganlara ek açıklardan yararlanma araçları sağlar.
  • Eksik güvenlik temelleri: CIS karşılaştırma uyumluluğu, güvenlik sağlamlaştırma veya en düşük ayrıcalık yapılandırması olmadan dağıtılan VM ve kapsayıcı görüntüleri, derinlemesine savunmada açıklardan yararlanılabilir boşluklar oluşturur.

Güvenliği aşılmış artefaktlar sürekli saldırı vektörleri haline gelir, yanal harekete yardımcı olur ve savunucular için meşru görünür.

MITRE ATT&CK

  • İlk Erişim (TA0001): Uygulama kapsayıcılarında veya web hizmetlerinde düzeltme eki uygulanmamış güvenlik açıklarından yararlanarak genel kullanıma yönelik uygulamadan (T1190) yararlanma.
  • Yürütme (TA0002): yetersiz görüntü doğrulaması nedeniyle meşru görünen kötü amaçlı kapsayıcıların dağıtımı (T1610).
  • Ayrıcalık Yükseltme (TA0004): Kapsayıcı yalıtımından çıkmak ve konak sisteminin güvenliğini tehlikeye atmak için kapsayıcı güvenlik açıklarından yararlanarak konağa kaçış (T1611).
  • Yanal Hareket (TA0008): Güvenlik açığı bulunan VM'ler veya güvenliği aşılmış görüntülerden dağıtılan kapsayıcılar üzerinden yapılan (T1210) uzak hizmetlerin kötüye kullanımı.

DS-6.1: Kapsayıcı İmajı Güvenliğini Uygulayın

Kapsayıcı ve VM görüntüleri, yaşam döngüleri boyunca kapsamlı güvenlik denetimleri gerektiren kritik saldırı yüzeylerini temsil eder. Güvenlik açığı bulunan temel imajlar, dağıtılan her örneğe zayıflıkları yayarak, altyapı genelinde etkiyi artırır. İş yükü yapıtlarının tarama, imzalama ve güvenli depolama dahil olmak üzere kaynak koduyla aynı güvenlik katılığıyla ele alınması, kuruluşların yalnızca doğrulanmış, güvenilir görüntüler dağıtmasını sağlarken saldırganların bilinen güvenlik açıklarından yararlanmasını veya kötü amaçlı görüntüleri değiştirmesini önler.

Şu uygulamalar aracılığıyla iş yükü yapıtlarının güvenliğini sağlama:

  • Sabit altyapı ilkeleri oluşturun: Kapsayıcı görüntülerini ve VM görüntülerini, kaynak koda açık temel görüntülerin dağıtılan her örneğe zayıflıklar yaymalarıyla aynı güvenlik katılığını gerektiren kritik yapıtlar olarak değerlendirin. Yaşam döngüsü boyunca tutarlılık ve izlenebilirlik sağlamak için iş yükü yapıtlarının bir kez derlendiği, kapsamlı, şifreli olarak imzalandığı ve değiştirilmeden dağıtıldığı sabit altyapı ilkeleri oluşturun.

  • Çok aşamalı derlemelerle en düşük temel görüntüleri kullanın: Kapsayıcı iş yükleri için, yalnızca temel çalışma zamanı bileşenlerini içeren minimum temel görüntülerle başlayarak katmanlı görüntü güvenliği uygulayarak saldırı yüzeyini tam işletim sistemi görüntülerine kıyasla önemli ölçüde azaltabilirsiniz. Derleme zamanı bağımlılıklarını çalışma zamanı görüntülerinden ayırmak için çok aşamalı derlemeler kullanın; zengin özelliklere sahip görüntülerde derleyin ve yalnızca nihai eserleri minimum çalışma zamanı görüntülerine kopyalayın. Geliştirme araçlarını, paket yöneticilerini ve güvenlik açığına maruz kalma riskini artıran derleme bağımlılıklarını ortadan kaldırarak saldırganlara araç sağlamaktan kaçının.

  • Otomatik taramayı karantina ilkeleriyle tümleştirme: Otomatik güvenlik açığı taramasını, kayıt defteri depolamadan önceki tüm görüntüleri tarar, kapsamlı CVE veritabanlarına karşı denetleme ve yeni güvenlik açıkları açıklandığında depolanan görüntüleri sürekli olarak yeniden taramak için görüntü derleme işlem hattıyla tümleştirin. Güvenlik ekibi onayı gerektiren özel durum iş akışları ve belgelenmiş risk kabulü ile kritik veya yüksek önem derecesinde güvenlik açıklarına sahip görüntülerin dağıtımdan geçmesini engelleyen otomatik karantina ilkeleri uygulayın. Güvenlik düzeltme ekleri yayınlandığında otomatik işlem hattı tetikleyicileriyle temel imaj yenileme politikaları oluşturarak imajların zaman içinde CVE birikmemesini sağlayın.

  • Şifreleme imzalama ve doğrulamayı zorunlu kılma: Derleme zamanındaki her aşama işareti görüntüsünde şifreleme imzalama ve doğrulama yoluyla görüntü bütünlüğünü zorunlu kılın, dağıtımdan önce imzaları doğrulayın ve imzalanmamış veya üzerinde oynanmış görüntüleri otomatik olarak reddedin. Bu, saldırganların meşru görüntüleri arka kapı içeren güvenliği aşılmış sürümlerle değiştirdiği görüntü değiştirme saldırılarını önler. Ağ erişim denetimleri (özel uç noktalar, sanal ağ tümleştirmesi), görüntüleri kimlerin gönderebileceğini/çekebileceğini sınırlayan rol tabanlı erişim ilkeleri ve tüm kayıt defteri işlemlerinin kapsamlı denetim günlüğü ile görüntüleri güvenli kapsayıcı kayıt defterlerinde depolayın.

  • VM'ler için güçlendirilmiş altın imajları koruyun: VM iş yükleri için, düzenli güvenlik yamaları yapılan ve uyumluluğu doğrulanan CIS uyumlu, güçlendirilmiş temel imajlara sahip merkezi altın imaj depolarını koruyun. Çalışan sistemlere düzeltme eki uygulamak yerine güvenlik güncelleştirmelerini içeren otomatik görüntü oluşturma işlem hatlarını uygulayın, gereksiz hizmetleri kaldırın, en az ayrıcalıklı yapılandırmaları uygulayın ve tanımlı zamanlamalarda yeni görüntüler oluşturun.

  • Tümleşik güvenlik platformlarını kullanma:Kapsayıcılar için Microsoft Defender tümleştirmesi ile Azure Container Registry gibi çözümler, tutarlı güvenlik ilkeleriyle otomatik tarama, karantina iş akışları, içerik güveni ve çok bölgeli çoğaltma sağlar.

Uygulama örneği

Bir lojistik kuruluşu, güvenlik açıkları giderilmemiş temel görüntü içeren ve kritik uzaktan kod yürütme güvenlik açığı bulunan bir kapsayıcı uygulama dağıttı. Saldırganlar dağıtımdan kısa süre sonra güvenlik açığından yararlanarak gönderim verilerini tehlikeye atmış.

Zorluk: Güvenlik açığı taraması yapılmamış çok sayıda kapsayıcı imajı. Aylar önce oluşturulan görüntüler, kritik güvenlik açıkları dahil olmak üzere birçok CVE biriktirdi. Doğrulama, kötü amaçlı görüntü değişimini engellemedi.

Çözüm yaklaşımı:

  • Kapsayıcı kayıt defteri güvenliği: Yüksek önemdeki CVE'lere sahip görüntüleri karantinaya alarak güvenlik açığı taraması yapan Azure Container Registry uygulandı.
  • Sağlamlaştırılmış VM görüntüleri: CIS karşılaştırma uyumlu VM görüntüleri içeren Azure Shared Image Gallery, düzenlenen iş yükleri için dağıtıldı.
  • Çalışma zamanı koruması:Kapsayıcılar için Microsoft Defender sürekli tehdit algılama ve kayma izleme için yapılandırıldı.
  • Yapıt bütünlüğü: Yaşam döngüsü boyunca görüntü orijinalliğini sağlayan şifreleme imzalama ve doğrulama oluşturuldu.

Sonuç: Güvenlik açığı bulunan görüntülerin üretim dağıtımından engellenmesi. Görüntü başına kapsayıcı CVE'leri önemli ölçüde azaltıldı. İmza doğrulaması aracılığıyla görüntü değiştirme saldırıları engellendi.

Kritiklik düzeyi

Olmalı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: CM-2, CM-3, SI-2, SI-7, RA-5
  • PCI-DSS v4: 6.2.4, 6.3.3, 11.3.1
  • CIS Denetimleri v8.1: 4.1, 7.3, 7.4
  • NIST CSF v2.0: PR.IP-1, PR.IP-3, DE.CM-8
  • ISO 27001:2022: A.8.9, A.8.31, A.8.32
  • SOC 2: CC7.2, CC8.1

DS-7: DevOps günlüğünü ve izlemeyi uygulama

Güvenlik ilkesi

Güvenlik analizi, gerçek zamanlı tehdit algılama ve otomatik yanıt için merkezi Güvenlik Bilgileri ve Olay Yönetimi (SIEM) platformlarına tümleştirme ile denetim akışı aracılığıyla kapsamlı DevOps etkinlik günlüğü uygulayın. Hızlı olay yanıtı sağlamak ve uyumluluk denetim izlerini korumak için davranış analizi, anomali algılama ve güvenlik ölçümleri oluşturun.

Azaltma riski

Yetersiz DevOps günlük kaydı ve izleme, saldırganların fark edilmeden çalışmak, kalıcılık kurmak ve hassas kod veya kimlik bilgilerini dışa aktarmak için yararlandığı kritik kör noktalar oluşturur. Kapsamlı görünürlük olmadan:

  • Algılanmayan işlem hattı güvenliği aşımları: Saldırganlar CI/CD işlem hatlarını kötü amaçlı kod eklemek, gizli bilgileri dışa aktarmak veya eksik ya da yetersiz denetim günlüğü kaydı nedeniyle uyarıları tetiklemeden arka kapılar kurmak için değiştirir.
  • Kodu veya altyapıyı değiştiren Insider tehditleri: Kötü niyetli insider'lar veya güvenliği aşılmış hesaplar algılama olmadan kaynak kodunda, altyapı tanımlarında veya dağıtım yapılandırmalarında yetkisiz değişiklikler yapar.
  • Kapsamlı denetim izlerinin olmaması: Ayrıntılı etkinlik günlüklerinin olmaması, güvenlik olayları meydana geldiğinde güvenlik olayları bekleme süresini uzattığında ve ihlal etkisini artırdığında adli araştırma, etki değerlendirmesi ve kök neden analizini önler.
  • Gecikmeli olay yanıtı: Ortalama Algılama Süresi (MTTD), güvenlik ekiplerinde gerçek zamanlı uyarı, anomali algılama ve DevOps güvenlik olaylarının otomatik bağıntısı olmadığında saatlerden haftalara kadar uzanır.
  • Uyumluluk denetimi hataları: Kapsamlı denetim izleri, değişiklik izleme ve erişim günlüğü oluşturma ile ilgili mevzuat gereksinimleri (SOX, PCI-DSS, HIPAA, ISO 27001) merkezi DevOps izlemesi olmadan karşılanamaz.
  • Ayrıcalık yükseltme körlüğü: İzinlerin yetkisiz yükseltilmesi, arka kapı hesaplarının oluşturulması veya erişim denetimlerinin değiştirilmesi, davranış analizi ve ayrıcalık izlemesi olmadan algılanmadan devam eder.

Günlükleme açıkları, yüksek ayrıcalıklı geliştirme yollarında kötü amaçlı boru hattı değişikliklerini, ayrıcalık yükseltmelerini ve kalıcı erişim girişimlerini gizler.

MITRE ATT&CK

  • Savunma Kaçaması (TA0005): denetim günlüğünü, güvenlik tarama adımlarını veya izleme aracılarını kör noktalarda çalışmak üzere devre dışı bırakarak savunmayı (T1562) bozar ve kötü amaçlı etkinlikleri gizlemek için denetim günlüklerini veya işlem hattı yürütme geçmişini temizleyerek gösterge kaldırma (T1070).
  • Kalıcılık (TA0003): hesap manipülasyonu (T1098) algılanmadan ek hizmet prensipleri, kişisel erişim belirteçleri veya SSH anahtarları oluşturmak.
  • ** Koleksiyon (TA0009): bilgi depolarından (T1213) veri, işlem hattı erişimi aracılığıyla kaynak kodu, gizli bilgiler veya fikri mülkiyeti dışarıya sızdırır.
  • Kimlik Bilgisi Erişimi (TA0006): güvenli olmayan kimlik bilgileri (T1552), boru hattı günlükleri veya yürütme geçmişinden ifşa edilen gizli dizileri ele geçirme.

DS-7.1: DevOps Platformları için Denetim Günlüğü Uygulama

Üretim altyapısına ve hassas kaynak koduna ayrıcalıklı erişimi olan DevOps platformları, saldırgan etkinlikleri ve içeriden gelen tehditleri algılamak için kapsamlı güvenlik izlemesi gerektirir. Denetim günlüğü boşlukları, kötü amaçlı aktörlerin uzun süreler boyunca algılanmadan çalışmasını sağlarken, merkezi günlük toplama gelişmiş saldırı zincirlerini ortaya koyan daha geniş güvenlik telemetrisiyle bağıntı sağlar. Gerçek zamanlı davranış analizi, yalıtılmış olaylarda görünmeyen şüpheli desenleri belirler ve ham denetim verilerini eyleme dönüştürülebilir güvenlik bilgilerine dönüştürür.

Bu özellikler aracılığıyla kapsamlı DevOps güvenlik izlemesi oluşturun:

  • Güvenlikle ilgili kapsamlı etkinlikleri yakalayın: Güvenlikle ilgili tüm DevOps etkinliklerini yakalayan kapsamlı denetim günlüğü oluşturun: kullanıcı kimlik doğrulaması ve yetkilendirme olayları, kaynak kodu işlemeleri ve dal işlemleri, işlem hattı oluşturma ve değiştirme, dağıtım yürütmeleri, gizli erişim, izin değişiklikleri, hizmet sorumlusu oluşturma ve yönetim eylemleri. DevOps platformları üretim altyapısına ayrıcalıklı erişime sahiptir ve hassas kod günlüğü boşlukları saldırganların ve kötü amaçlı insider'ların uzun süreler boyunca algılanmayan şekilde çalışmasını sağlar.

  • Günlükleri gerçek zamanlı olarak merkezi SIEM'e iletin: Denetim günlüklerini DevOps platformunda yerel saklama (genellikle 90 gün) kullanmak yerine gerçek zamanlı olarak merkezi SIEM platformlarına ileterek uzun süreli adli analiz, uyumluluk raporlama ve diğer sistemlerden gelen güvenlik olaylarıyla bağıntı sağlar. Günlükleri, el ile günlük incelemesi olmadan otomatik ayrıştırma, analiz ve uyarı sağlayan yapılandırılmış biçimlerde (JSON) standartlaştırılmış protokoller (/azure Event Hubs, syslog) aracılığıyla güvenlik operasyonları merkezlerine akışla aktarabilirsiniz.

  • Davranış analizini ve anomali algılamayı dağıtma: DevOps denetim verilerine davranış analizi ve anomali algılama uygulayarak tek tek olaylarda görünmeyen şüpheli desenleri belirleyin: mesai sonrası işlem hattı değişiklikleri, hassas depolara olağan dışı erişim, hızlı ayrıcalık yükseltmeleri, hizmet sorumlusu oluşturma ve ardından şüpheli dağıtımlar, beklenmeyen konumlardan işlem hattı yürütmeleri veya gizli dizi erişiminin anormal desenleri. Kullanıcılar ve hizmetler için temel davranış profilleri oluşturarak risk veya içeriden tehditlere işaret eden istatistiksel olarak önemli sapmalar hakkında uyarı verin.

  • Yüksek riskli etkinlikler için otomatik uyarıları yapılandırın: Güvenlik ekiplerine anında bildirimde bulunan yüksek riskli etkinlikler için otomatik uyarıları yapılandırın: üretim dağıtımı hataları, korumalı dallarda işlem hattı değişiklikleri, yeni hizmet sorumlusu oluşturma, izin yükseltme olayları, devre dışı bırakılan güvenlik tarama adımları, denetim günlüğü iletme yapılandırma değişiklikleri veya yetkisiz işlem hatlarından gizli dizilere erişme girişimleri. Kritik uyarıların güvenlik operasyonlarına hemen ulaşmasını sağlarken, rutin olaylar analiz için toplu olarak işlenmek üzere önem derecesine dayalı bir yükseltme uygulayın.

  • Daha geniş güvenlik telemetrisi ile tümleştirme: Uç nokta algılama, ağ güvenliği, kimlik olayları ve tehdit bilgileri akışlarıyla bağıntı için SIEM platformlarında DevOps denetim günlüklerini daha geniş güvenlik telemetrisiyle tümleştirin. Bu, DevOps'un ihlal edilmesinin, örneğin kimlik avı kimlik bilgilerini sonraki süreç hattı değişiklikleri ve olağan dışı bulut kaynaklarının sağlanması ile bağdaştırma gibi çok aşamalı operasyonların bir aşaması olduğu gelişmiş saldırı zincirlerinin algılanmasına olanak tanır.

  • Tümleşik SIEM platformlarını kullanma:Microsoft Sentinel tümleştirmesi ile Azure DevOps Denetim Akışı gibi platformlar gerçek zamanlı günlük iletme, DevOps tehditleri için önceden oluşturulmuş algılama kuralları, araştırma için güvenlik çalışma kitapları ve otomatik yanıt düzenleme sağlar.

Uygulama örneği

Bir üretim organizasyonu, eski yüklenicinin CI/CD işlem hattını değiştirip üretim uygulamasına arka kapı kodu eklemesi üzerine iç tehdit keşfetti. Denetim günlüğünün yetersiz olması nedeniyle olay aylar boyunca algılanmadı.

Zorluk: DevOps etkinliklerinin merkezi bir günlüğe sahip değil. İşlem hattı değişiklikleri ve ayrıcalıklı erişim değişiklikleri izlenmemiştir. Adli soruşturma, denetim kayıtlarının olmamasıyla engellendi. Yetersiz değişiklik izleme nedeniyle uyumluluk denetimi başarısız oldu.

Çözüm yaklaşımı:

  • Merkezi denetim günlüğü: Güvenlik analizi ve uzun süreli saklama için Microsoft Sentinel'eAzure DevOps Denetim Akışı iletme olayları etkinleştirildi.
  • Davranış analizi: Olağan dışı erişim desenlerini, mesai sonrası işlem hattı değişikliklerini ve insider tehditlerini gösteren ayrıcalık yükseltmelerini tanımlayan anomali algılaması uygulandı.
  • Otomatik uyarı: Yetkisiz üretim dağıtımları ve güvenlik işlemlerine hizmet sorumlusu oluşturma yönlendirmesi de dahil olmak üzere şüpheli etkinlikler için yapılandırılmış uyarılar.
  • Uyumluluk raporlaması: Kapsamlı değişiklik izleme ile mevzuat gereksinimlerini karşılayan otomatik denetim izi oluşturma oluşturuldu.

Sonuç: Sonraki yetkisiz işlem hattı değişikliklerini hızla algıladı ve önledi. Kapsamlı denetim izleriyle olay araştırma süresi önemli ölçüde azaltıldı. Belgelenmiş değişiklik yönetimiyle uyumluluk elde edildi.

Kritiklik düzeyi

Olmalıydı.

Denetim eşlemesi

  • NIST SP 800-53 Rev.5: AU-2, AU-3, AU-6, AU-12, SI-4
  • PCI-DSS v4: 10.2.1, 10.2.2, 10.3.4
  • CIS Denetimleri v8.1: 8.2, 8.5, 8.11
  • NIST CSF v2.0: DE.CM-1, DE.CM-7, RS.AN-1
  • ISO 27001:2022: A.8.15, A.8.16
  • SOC 2: CC7.2, CC7.3
  • Last updated on