ในอดีต การรักษาความปลอดภัยถือเป็นสิ่งที่ต้องคำนึงถึงภายหลังในอุตสาหกรรมไอที ในช่วงไม่กี่ปีที่ผ่านมา แม้จะมีแรงกดดันให้แนะนำ’การรักษาความปลอดภัยโดยการออกแบบ’เพื่อให้แน่ใจว่าผลิตภัณฑ์ได้รับการพัฒนาโดยคำนึงถึงแนวทางปฏิบัติที่ดีที่สุด
เราได้พูดคุยกับ David Melamed CTO ของ Jit เพื่อดูข้อมูลเกี่ยวกับการผสานรวมการรักษาความปลอดภัยและวิธีที่นักพัฒนาสามารถใช้เครื่องมือรักษาความปลอดภัยได้ ไม่ใช่แค่ผู้เชี่ยวชาญด้านความปลอดภัย
BN: คุณเข้ามามีส่วนร่วมในพื้นที่ความปลอดภัยของการพัฒนาได้อย่างไร
DM: ในฐานะวิศวกรซอฟต์แวร์ (ย้อนอดีต) ฉันเข้าใจว่าความปลอดภัยเป็นส่วนสำคัญในการนำเสนอซอฟต์แวร์คุณภาพสูง ในช่วงหลายปีที่ผ่านมา ฉันใช้เวลาและความพยายามมากขึ้นในการศึกษาโดเมน และมีโอกาสพิเศษที่จะได้ลงมือปฏิบัติจริงในการรักษาความปลอดภัยบนคลาวด์ที่ CloudLock (ต่อมาถูกซื้อกิจการโดย Cisco) ในสำนักงาน CTO ฉันได้ทำการวิจัยเชิงลึกเกี่ยวกับภัยคุกคามด้านความปลอดภัยบนคลาวด์ในโลกแห่งความเป็นจริง และเป็นหนึ่งในนักวิจัยที่มีส่วนร่วมใน 10 อันดับภัยคุกคามความปลอดภัยแบบไร้เซิร์ฟเวอร์ (ก่อนที่เซิร์ฟเวอร์ไร้เซิร์ฟเวอร์จะเปิดตัวอย่างที่เป็นอยู่ในขณะนี้) วันนี้ ที่ Jit ฉันได้นำความเชี่ยวชาญด้านโดเมนนั้นจากประสบการณ์หลายปีในฐานะนักพัฒนา สถาปนิก และนักวิจัยด้านความปลอดภัยมาปฏิบัติจริง เพื่อให้ครอบคลุมขอบเขตทั้งหมดของการรักษาความปลอดภัยแบบ end-to-end ผ่านเฟรมเวิร์กแบบเปิดและเข้าถึงได้สำหรับทุกคน
BN: อะไรคือความท้าทายหลักในการใช้เครื่องมือรักษาความปลอดภัย
DM: สรุป–มีหลายอย่าง
ความชัดเจน ความหลากหลายและจำนวนของเครื่องมือรักษาความปลอดภัยทำให้การนำทางเป็นเรื่องยากมาก ไม่เพียงแต่มีหมวดหมู่ที่แตกต่างกันตั้งแต่การตรวจจับไปจนถึงการป้องกัน การสแกนโค้ด การตรวจจับช่องโหว่รันไทม์ แต่ยังสามารถมาในหลายรูปแบบอีกด้วย ตั้งแต่ไฟล์เรียกทำงานและสคริปต์ ไปจนถึงเครื่องมือที่ใช้ API, SaaS และแพ็คเกจโอเพ่นซอร์ส ความท้าทายที่ใหญ่ที่สุดและเป็นที่ทราบกันโดยทั่วไปก็คือว่าเครื่องมือเหล่านี้แต่ละอย่างเป็นโลกแห่งความเชี่ยวชาญด้านโดเมนในตัวมันเอง และมาพร้อมกับ’ภาษา’วิธีการดำเนินการ อินเทอร์เฟซ และเอาต์พุตของตัวเอง ทั้งหมดนี้ร่วมกันสร้างช่วงการเรียนรู้ที่สูงชันเพื่อให้บรรลุความครอบคลุมด้านความปลอดภัยแบบ end-to-end สำหรับสแต็กเนทีฟบนคลาวด์ที่มีอยู่มากมายในปัจจุบัน เช่นเดียวกับ’เวลาในการครอบคลุมความปลอดภัยเต็มรูปแบบ’ที่ยาวนาน
แม้ว่า ส่วนที่สำคัญที่สุดของการรักษาความปลอดภัยในภูมิประเทศดังกล่าวคือการมีแผนที่กำหนดไว้ล่วงหน้า โดยพื้นฐานแล้วเป็นดาวเหนือสำหรับการรักษาความปลอดภัยผลิตภัณฑ์ของคุณ นี่เป็นเพราะแม้ว่าคุณจะผสานรวมเครื่องมือที่เหมาะสมทั้งหมด แต่เป้าหมายด้านความปลอดภัยของคุณไม่ชัดเจน คุณจะไม่มีทางรู้ว่าคุณจัดการท่าทางการรักษาความปลอดภัยอย่างถูกต้องหรือไม่ และมีช่องว่างที่สำคัญในการรักษาความปลอดภัยผลิตภัณฑ์ของคุณหรือไม่
BN: ทีมควรรวมการรักษาความปลอดภัยเข้ากับกระบวนการพัฒนาอย่างไร
DM: การฝังการรักษาความปลอดภัยในการพัฒนาควรเริ่มต้นตั้งแต่บรรทัดแรกของโค้ด และตั้งแต่ การปฏิบัติและวัฒนธรรม แม้กระทั่งก่อนหน้านั้นในขั้นตอนการออกแบบและการสร้างแบบจำลองภัยคุกคาม ผลิตภัณฑ์ของเราประกอบด้วยหลายเลเยอร์ในปัจจุบัน ตั้งแต่โค้ด การผสานรวมและบุคคลที่สาม (มักเรียกว่าซัพพลายเชน) โครงสร้างพื้นฐาน พร้อมรันไทม์ที่หลากหลาย และอื่นๆ อีกมากมาย ทั้งหมดนี้ร่วมกันสร้างจุดเริ่มต้นมากมายสำหรับผู้โจมตีและไม่สามารถมองข้ามสิ่งเหล่านี้ได้
กล่าวคือ เราเชื่อว่าทีมสามารถเริ่มต้นเล็ก ๆ และทำซ้ำด้วยแนวทางการรักษาความปลอดภัยขั้นต่ำที่ใช้งานได้–คล้ายกับ MVP คุณไม่จำเป็นต้องสร้างป้อมปราการตั้งแต่วันแรก เพียงแค่แผนพื้นฐานที่จะให้ชุดการควบคุมขั้นต่ำแก่คุณเพื่อครอบคลุมการโจมตีที่สำคัญในหมวดหมู่ทั้งหมดเหล่านี้ มีเครื่องมือโอเพนซอร์สที่ยอดเยี่ยมมากมายให้คุณเริ่มต้น เรามีบทสรุปที่ดีในบล็อกของเราเกี่ยวกับ เครื่องมือรักษาความปลอดภัยแบบโอเพ่นซอร์ส 5 อันดับแรก ที่นักพัฒนาทุกคนควรรู้ (และ พูดดีมาก!)
BN: คุณช่วยอธิบายบทบาทของโครงการโอเพ่นซอร์สในพื้นที่ความปลอดภัยทางไซเบอร์ได้ไหม
DM: การรักษาความปลอดภัยแบบโอเพ่นซอร์สมีการพัฒนาอย่างเหลือเชื่อในช่วงหลายปีที่ผ่านมา และในปัจจุบันมีจำนวนมาก เครื่องมือรักษาความปลอดภัยแบบโอเพ่นซอร์สที่ยอดเยี่ยมมาก–ซึ่งเป็นตัวเปลี่ยนเกมสำหรับอุตสาหกรรม จาก OWASP ZAP (เครื่องสแกนเว็บแอปพลิเคชันที่ใช้กันแพร่หลายมากที่สุด ดูแลรักษาโดย Simon Bennetts วิศวกรที่มีชื่อเสียงของเราเอง) ถึง Gitleaks ที่ Jit เลือกที่จะสนับสนุนและสนับสนุน รวมถึงสิ่งอื่นๆ อีกมากมายตั้งแต่ KICS ไปจนถึง Prowler, Semgrep และอีกมากมาย.
โครงการเหล่านี้ได้ลดอุปสรรคในการเข้าสู่การรักษาความปลอดภัย ซึ่งในปัจจุบันภูมิทัศน์ด้านความปลอดภัยส่วนใหญ่ถูกปิดลง และชุดซอฟต์แวร์ระดับพรีเมียมที่บริษัทขนาดเล็กและกำลังเติบโตไม่สามารถเข้าถึงได้เสมอไป เครื่องมือรักษาความปลอดภัย OSS จำนวนมากเป็นสายพันธุ์ที่ดีที่สุดในปัจจุบันและให้การครอบคลุมที่ดีมากสำหรับความต้องการทั่วไป และได้ให้บริการนวัตกรรมที่จำเป็นมาก เช่นเดียวกับการทำความเข้าใจว่าประสบการณ์ด้านความปลอดภัยแบบใด (คล้ายกับประสบการณ์ของนักพัฒนาหรือผู้ใช้) ควรมีลักษณะอย่างไรเพื่อให้ใช้งานได้อย่างแพร่หลายอย่างแท้จริง การนำไปใช้
BN: คุณมีความคิดเห็นอย่างไรเกี่ยวกับอนาคตของการรักษาความปลอดภัยสำหรับบริษัทที่มีทีมพัฒนาที่รวดเร็ว
DM: บริษัทที่ไม่ ความรู้ที่จะฝังการรักษาความปลอดภัยลงในเวิร์กโฟลว์ของนักพัฒนาเนทีฟในองค์กรด้านวิศวกรรมความเร็วสูงจะถูกทิ้งไว้เบื้องหลัง ไม่มีเวลาสำหรับแรงเสียดทานหรือเส้นโค้งการเรียนรู้ เครื่องมือรักษาความปลอดภัยจำเป็นต้องได้รับการปรับให้เหมาะสมสำหรับนักพัฒนา พวกเขาจำเป็นต้องให้ผลลัพธ์ที่ชัดเจน ไม่ใช่แค่การให้ข้อมูล โดยมุ่งเน้นที่การดำเนินการแก้ไขในตัว เราเชื่อว่าเครื่องมือรักษาความปลอดภัยที่จะเป็นตัวเปลี่ยนเกมคือเครื่องมือที่มาพร้อมกับกรอบความคิดที่คำนึงถึงการแก้ไขเป็นอันดับแรก ไม่ใช่แค่ปัญหาที่ขับเคลื่อนด้วย (นักพัฒนาซอฟต์แวร์เบื่อกับรายการช่องโหว่จำนวนมากแต่มีความรู้ความเข้าใจว่าจะแก้ไขอย่างไร)
ยิ่งไปกว่านั้น อีกครึ่งหนึ่งก็คือว่าในที่สุดแล้ว ด้วยแนวภัยคุกคามที่เติบโตและพัฒนาอย่างต่อเนื่อง เราจะเห็นว่าเครื่องมือการรักษาความปลอดภัย (dev) ที่ได้รับสิทธิ์นี้ จะเป็นผู้เปิดใช้งานในที่สุด (ใช่ คุณได้ยินถูกต้อง–ตัวเปิดใช้งาน) ของวิศวกรรมความเร็วสูงพร้อมความปลอดภัย เดิมพันสูงเกินไปในทุกวันนี้ และบริษัทต่าง ๆ ก็เป็นหนึ่งเดียวที่ดึงคำขอและแยกตัวออกจากหายนะครั้งใหญ่ องค์กรด้านวิศวกรรมที่จะสามารถส่งมอบได้อย่างรวดเร็วในขณะที่รักษาความปลอดภัยอย่างต่อเนื่องจะเป็นผู้นำ
เครดิตรูปภาพ: มิกโคเล็ม/depositphotos.com