ليس هناك الكثير من المعلومات التي لا يعرفها كلينت جيبلر، رئيس قسم الأبحاث الأمنية في Semgrep، عن اتجاهات الأمان السحابي العالمية. يعتبر جيبلر قائدًا فكريًا يحظى باحترام كبير في الصناعة، وهو أيضًا المؤسس المشارك لـ ليرة تركية؛ الدكتور ثانية النشرة، الذي ينظم ويلخص أحدث الأدوات والأبحاث الأمنية كل أسبوع.

انضم Gibler مؤخرًا إلى CloudSec 360 لمشاركة رؤى قابلة للتنفيذ حول بناء برنامج أمان رائد في السوق وقابل للتطوير. خلال الجلسة، ناقش جيبلر كيفية تغير الثقافة الأمنية وطرق جديدة لإدارة المخاطر. فيما يلي بعض النصائح الرئيسية التي قدمها جيبلر حول الأمان الذي يركز على العملاء وكيفية وضعه موضع التنفيذ.

إن تطوير البرمجيات يتسارع، والآن يجب على الأمن أيضًا أن يتقدم

لقد تسارعت وتيرة الابتكار بشكل كبير في العقد الماضي، وذلك بفضل اعتماد تطورات مثل النقل بالحاويات السحابية والبنية التحتية كرمز. تتيح الحاويات إنشاء التطبيقات الجديدة بشكل منفصل كمنتجات مجمعة بالكامل، والتي يمكن بعد ذلك شحنها بسرعة وأمان وبأقل قدر من الاحتكاك – بينما تلغي البنية التحتية كرمز الحاجة إلى إدارة تكنولوجيا المعلومات يدويًا.

والنتيجة هي أن فرق DevOps يمكنها الآن إسقاط تحديثات البرامج يوميًا – وليس ربع سنويًا – مما يمكن الشركات من الاستجابة لتعليقات المستخدمين وإصلاح الأخطاء والابتكار بشكل أسرع من أي وقت مضى.

ومع ذلك، فإن هذا التسارع في أوقات شحن البرامج يخلق تحديات كبيرة لفرق الأمان، التي يجب عليها تطوير استراتيجيات جديدة للتنفيذ بسرعة أو المخاطرة بأن يُنظر إليها على أنها مانع للابتكار.

يقول جيبلر إنه لمواكبة التقدم، يجب على فرق الأمان أن تخضع لتغيير في العقلية، والعمل بشكل وثيق مع المهندسين والمطورين، ومعاملتهم كعملاء، والتعامل مع الأمن كمنتج يركز على العملاء.

كيف يبدو الأمن الذي يركز على العملاء؟

وشدد جيبلر على أن فرق الأمن يجب أن تضيف قيمة للجميع داخل المنظمة. إنهم بحاجة إلى التعاون مع المطورين والمهندسين، بدلاً من توقع منهم تحمل واجهات مستخدم منفصلة لأدوات الأمان والحلول البديلة والحواجز. إن النهج الاستباقي الذي تضيف فيه فرق الأمان قيمة لأصحاب المصلحة المتعددين هو الطريق إلى الأمام.

“العديد من فرق الأمن تدرك ذلك الآن مبنى يقول: “تضيف (الأدوات، والمكتبات، والأتمتة) قيمة أكبر بكثير من العثور على الأخطاء وكسر الأشياء. إنه الفرق بين مساعدة أصحاب المصلحة على فعل الشيء الصحيح، بدلاً من العمل كحارس بوابة ومنع الأشخاص من القيام بما يتعين عليهم القيام به”.

أربع خطوات أولية نحو وظيفة أمنية تركز على العملاء

لذا، كيف يمكنك تحويل تركيز فريقك من البحث عن الأخطاء إلى أن يصبح نقطة انطلاق تركز على العملاء للابتكار؟ يقترح جيبلر أنه يجب على جميع فرق الأمان مراعاة الخطوات الأربع التالية في رحلة التحول الخاصة بهم:

  1. قم بإنشاء موارد الخدمة الذاتية مع الأمان المضمن

    تحتاج فرق الأمان إلى تحويل تركيزها من العثور على الأخطاء ونقاط الضعف إلى تقديم الأمان حسب التصميم في الخط الأمامي للتطوير. يتضمن ذلك إنشاء الأدوات والموارد التي تحتاجها فرق التطوير لتحقيق أهدافها مع توفير الأمان. حاول إقامة صداقة مع فريق هندسة الأنظمة الأساسية، أو أي فريق يقوم بإنشاء برامج لبقية مؤسستك – يمكن أن تكون هذه طريقة رائعة للحصول على ضوابط الأمان المضمنة في الأدوات والمكتبات القياسية عبر شركتك.

  2. تضمين الموظفين عبر الفرق

    فكر في بدء برنامج متجدد لتبادل الوظائف بين الأمان وDevOps والهندسة لتطوير وظيفة أمنية تركز على العملاء. يمكن دمج أعضاء فريق الأمان في DevOps أو الهندسة لمدة ستة أشهر: يقول جيبلر، “يجب عليهم الحصول على التذاكر، وبناء الميزات، ورمز الشحن للإنتاج والقيام بالضبط بما يفعله المطورون” من أجل كسر الصوامع وبناء التعاطف. ويعمل هذا أيضًا في الاتجاه الآخر، حيث يقوم المهندس بمهمة ضمن فريق أمني.

  3. ضمان سهولة فهم الأمن واستهلاكه

    يجب تصميم الأنظمة والعمليات لتشجيع السلوك الآمن. حيثما كان ذلك ممكنًا، يجب أن يكون الأمر أيضًا “بسهولة النقر على زر أو إعادة تكوين سطر من التعليمات البرمجية”، كما يقول جيبلر. “إذا لم يتصرف المطورون كما يريد فريق الأمان، فهذا ليس لأنهم “لم يفهموا ذلك”. بل لأن عرض القيمة لم يتم توضيحه بما فيه الكفاية، أو أنه يتعين عليهم اتخاذ الكثير من الخطوات الإضافية.”

  4. بناء القدرات المشتركة

    خذ بعين الاعتبار كيف يمكن للمبادرات والأدوات الأمنية تقديم قيمة عبر المؤسسة. على سبيل المثال، يعد إنشاء مخزون الأصول أمرًا ذا قيمة لفرق الأمان في معرفة ما يجب حمايته، ولكنه يمكن أن يساعد أيضًا في التمويل على فهم فاتورة السحابة الخاصة بك ومعرفة الهندسة الفرق التي تمتلك الخدمات. وبالمثل، يمكن لفرق الأمان استخدام فحص التعليمات البرمجية للعثور على الثغرات الأمنية أو إلغاء الاشتراك في الإعدادات الافتراضية الآمنة، ويمكن للفرق الهندسية استخدامها لفرض معايير الترميز أو إعادة هيكلة التعليمات البرمجية على نطاق واسع.

مشاهدة كاملة كلاودسيك 360 الجلسة، التي تضم كلينت جيبلر، الآن للحصول على مزيد من الرؤى القابلة للتنفيذ حول إنشاء برنامج أمان قابل للتطوير بحيث يمكنك شحن البرامج بسرعة وأمان بأقل قدر من الاحتكاك.

شاركها.
اترك تعليقاً