واژه نامه DevSecOps: اصطلاحات مهم برای متخصصان امنیتی

DevSecOps چیست؟

DevSecOps مجموعه ای از توسعه، امنیت و عملیات است. پسندیدن DevOps، DevSecOps به ترکیبی از فرهنگ، فرآیندها و فناوری ها اشاره دارد. اما در حالی که DevOps بر بهینه سازی و ساده سازی چرخه عمر توسعه نرم افزار تمرکز دارد، DevSecOps به دنبال بهبود امنیت در سراسر خط لوله تحویل محصول سازمان است. علاوه بر این، DevSecOps مستقیماً به نقاط ضعف امنیتی احتمالی معرفی شده توسط مدل DevOps می‌پردازد.

دیدن: نقض رمز عبور: چرا فرهنگ پاپ و رمزهای عبور با هم ترکیب نمی شوند (PDF رایگان) (TechRepublic)

اصطلاحات DevSecOps که باید بدانید

سطح حمله

سطح حمله یک سازمان به آسیب‌پذیری‌های بالقوه در یک سیستم اشاره دارد که می‌تواند توسط یک مهاجم مورد سوء استفاده قرار گیرد – قرار گرفتن در معرض تهدیدات بالقوه شبکه. دستگاه های اینترنت اشیا (IoT)، دستگاه های تلفن همراه، رایانش ابری و کار از راه دور، همگی سطح حمله متوسط ​​سازمان را گسترش داده اند.

اتوماسیون

به طور کلی، اتوماسیون به استفاده از فناوری برای تکمیل کاری اشاره دارد که در غیر این صورت توسط انسان انجام می شود. در زمینه DevSecOps، اتوماسیون به استفاده از فناوری خودکار – اسکریپت ها، ربات ها و الگوریتم ها – برای خودکارسازی وظایف امنیتی در طول چرخه عمر توسعه نرم افزار اشاره دارد.

زنجیره ای از بازداشت

سلسله حبس سوابقی است از اینکه چه کسی در یک زمان معین شواهدی در اختیار داشته است. در زمینه شواهد دیجیتال، زنجیره نگهداری باید حفظ شود تا اطمینان حاصل شود که شواهد تغییر نکرده اند و می توان صحت آن را تأیید کرد. برای مثال، سیستم‌های مدیریت اسناد مدرن، شامل گزارش‌های حسابرسی کامل هستند.

CI/CD

CI/CD یا یکپارچه سازی مداوم و تحویل مداوم، یک روش توسعه نرم افزار است که در آن توسعه دهندگان تغییرات کد را به طور مکرر در یک مخزن مشترک ادغام می کنند و تغییرات نرم افزار به طور خودکار ساخته، آزمایش و برای تولید مستقر می شوند. این تکرارهای فوق‌العاده سریع ارزش بیشتری برای سازمان ایجاد می‌کنند، اما همچنین سطوح بالاتری از امنیت را برای کاهش احتمال اختلال نیاز دارند.

وابستگی های کد

وابستگی های کد، کتابخانه های خارجی، چارچوب ها و ماژول هایی هستند که کد شما برای اجرا به آن نیاز دارد. اگر به درستی مدیریت نشوند، این وابستگی‌ها می‌توانند آسیب‌پذیری‌هایی را وارد پایگاه کد شما کنند. آسیب پذیری های شخص ثالث رایج ترین آسیب پذیری های یک سیستم هستند.

انطباق

انطباق به پایبندی سازمان به مقررات، استانداردها یا بهترین شیوه های خارجی اشاره دارد. در زمینه DevOps و امنیت، انطباق می‌تواند به همه چیز از پایبندی به مقررات خاص صنعت، مانند CMMC برای پیمانکاران وزارت دفاع، تا سیاست‌های داخلی شرکت اشاره داشته باشد.

رانش پیکربندی

تغییر پیکربندی زمانی اتفاق می‌افتد که پیکربندی یک سیستم بدون ردیابی یا تأیید تغییر می‌کند. تغییر پیکربندی می تواند در طول زمان منجر به آسیب پذیری های امنیتی شود زیرا سازمان به طور فزاینده ای دامنه خود را گسترش می دهد.

کانتینری سازی

Containerization روشی برای بسته بندی نرم افزار است، بنابراین می توان آن را در محیط های ایزوله اجرا کرد. کانتینرها مستقل هستند و تمام وابستگی های لازم برای اجرای نرم افزار را شامل می شوند و آنها را قابل حمل و استقرار آسان می کند. نکته مهم این است که نمونه های کانتینری تأثیر محدودی بر یکدیگر دارند و آنها را ایمن تر می کند.

نقض داده ها

نقض داده هر گونه دسترسی غیرمجاز یا افشای اطلاعات حساس است. نقض داده‌ها زمانی رخ می‌دهد که یک مهاجم مخرب به یک سیستم دسترسی پیدا کند، اما همچنین می‌تواند زمانی رخ دهد که یک کاربر مجاز داده‌ها را اشتباه مدیریت کند – به عنوان مثال، با ارسال آن به شخص اشتباه یا ارسال آن‌ها به صورت آنلاین. اکثر شرکت‌ها در مقطعی با نقض داده مواجه می‌شوند، اما شیوه‌های درست DevSecOps آسیب را کاهش می‌دهد.

پیشگیری از دست دادن داده ها

پیشگیری از از دست دادن داده به عمل جلوگیری از افشای غیرمجاز اطلاعات حساس، چه از طریق استفاده از ابزارهای خودکار یا دسترسی محدود، اشاره دارد. ابزارهای پیشگیری از از دست دادن داده ها را می توان برای رمزگذاری داده ها در حال انتقال و در حالت استراحت و همچنین برای نظارت و کنترل دسترسی به داده ها استفاده کرد.

امنیت نقطه پایانی

امنیت نقطه پایانی عمل ایمن سازی دستگاه هایی است که به یک شبکه متصل می شوند. نقاط پایانی می تواند شامل لپ تاپ ها، تلفن های هوشمند، تبلت ها و دستگاه های اینترنت اشیا باشد. راه حل های امنیتی Endpoint معمولاً شامل نرم افزار آنتی ویروس، فایروال ها و سیستم های تشخیص نفوذ و پیشگیری است.

مدیریت هویت و دسترسی (IAM)

IAM عملی برای مدیریت هویت‌ها – اعم از دیجیتالی و فیزیکی – و دسترسی آنها به اطلاعات و سیستم‌های حساس است. IAM شامل تهیه و حذف حساب های کاربری و همچنین مدیریت کنترل های دسترسی است. برای اینکه واقعاً مؤثر باشد، مجموعه‌های IAM باید با فرآیندهای امنیتی مناسب جفت شوند.

مدل سررسید

مدل بلوغ چارچوبی است که می تواند برای ارزیابی پیشرفت سازمان در اتخاذ یک رویه یا قابلیت خاص مورد استفاده قرار گیرد. در زمینه DevSecOps، یک مدل بلوغ می تواند برای ارزیابی پیشرفت سازمان در اتخاذ شیوه های DevSecOps و دستیابی به اهداف DevSecOps استفاده شود.

احراز هویت بدون رمز عبور

احراز هویت بدون رمز عبور روشی برای احراز هویت کاربران بدون استفاده از رمز عبور است. در عوض، می توان با استفاده از بیومتریک، توکن های سخت افزاری یا رمزهای عبور یک بار مصرف (OTP) این کار را انجام داد. بسیاری از تحلیلگران امنیتی بر این باورند که این نوع احراز هویت نسبت به رمزهای عبور سنتی ایمن تر است، زیرا احراز هویت بدون رمز عبور به کاربر برای حفظ استانداردهای امنیتی متکی نیست.

تست نفوذ

تست نفوذ، همچنین به عنوان تست قلم شناخته می شود، تمرین شبیه سازی حمله به یک سیستم به منظور شناسایی آسیب پذیری ها است. تست‌های قلم را می‌توان به صورت دستی یا با ابزارهای خودکار انجام داد و می‌توان آن‌ها را در سیستم‌های فردی یا کل شبکه هدف قرار داد.

امنیت محیطی

امنیت محیطی عمل حفاظت از مرزهای یک شبکه است. راه حل های امنیتی محیطی معمولاً شامل فایروال ها و سیستم های تشخیص نفوذ و پیشگیری است. امروزه سازمان ها از امنیت مبتنی بر محیط دور شده و به سمت امنیت مبتنی بر دسترسی رفته اند.

مدیریت ریسک

مدیریت ریسک فرآیند شناسایی، ارزیابی و کاهش ریسک است. در زمینه امنیت، مدیریت ریسک یک جزء ضروری است که شامل شناسایی تهدیدها و آسیب‌پذیری‌ها و همچنین ارزیابی تأثیر آنها بر سازمان می‌شود.

اطلاعات امنیتی و مدیریت رویداد (SIEM)

SIEM یک رویکرد مدیریت امنیتی است که عملکردهای مدیریت اطلاعات امنیتی (SIM) و مدیریت رویدادهای امنیتی (SEM) را ترکیب می کند. SIEM به سازمان‌ها دیدی بی‌درنگ از وضعیت امنیتی خود و همچنین توانایی شناسایی، بررسی و پاسخ به حوادث امنیتی را ارائه می‌دهد.

امنیت به عنوان کد

امنیت به‌عنوان کد، عملی است که پیکربندی‌ها و خط‌مشی‌های امنیتی را به‌عنوان کد در نظر می‌گیرد، که سپس می‌توان آن را مانند هر دارایی نرم‌افزار دیگری مدیریت کرد. امنیت به‌عنوان کد کمک می‌کند تا اطمینان حاصل شود که پیکربندی‌های امنیتی در سراسر محیط‌ها سازگار هستند و می‌توان تغییرات را در طول زمان ردیابی کرد.

وضعیت امنیتی

وضعیت امنیتی یک سازمان به وضعیت کلی امنیت آن، از جمله اثربخشی کنترل‌های آن و کفایت خط‌مشی‌ها و رویه‌های آن اشاره دارد. وضعیت امنیتی را می توان با استفاده از ارزیابی ها و ممیزی های امنیتی اندازه گیری کرد.

تغییر سمت چپ

Shift Left یک اصل DevOps است که از گنجاندن زودتر امنیت در فرآیند توسعه نرم افزار دفاع می کند. با جابجایی به چپ، سازمان‌ها می‌توانند آسیب‌پذیری‌های امنیتی را در اوایل چرخه توسعه پیدا کرده و برطرف کنند، که می‌تواند در زمان و هزینه صرفه‌جویی کند.

امنیت سیلد

Siled Security عمل جداسازی عملکردهای امنیتی از سایر بخش‌های سازمان است. امنیت ساییده شده می تواند منجر به ناکارآمدی و نقاط کور و همچنین افزایش خطر حوادث امنیتی شود.

مدل سازی تهدید

مدل‌سازی تهدید، عمل شناسایی، ارزیابی و کاهش تهدیدات است. این به سازمان ها کمک می کند تا سطح حمله خود را درک کنند و با ممیزی سیستم های موجود و شناسایی شکاف های احتمالی، محتمل ترین و تأثیرگذارترین تهدیدها را شناسایی کنند.

اعتماد صفر

اعتماد صفر یک مدل امنیتی است که همه کاربران و دستگاه ها را غیرقابل اعتماد فرض می کند. در یک محیط بدون اعتماد، تمام ترافیک به عنوان مخرب تلقی می شود و همه دارایی ها بر این اساس محافظت می شوند. اعتماد صفر اغلب همراه با ریز بخش‌بندی برای جداسازی بیشتر سیستم‌ها و داده‌ها استفاده می‌شود.