Pendekatan kiri “Pergeseran (keamanan)” dalam Siklus Hidup Pengembangan Perangkat Lunak (SDLC) berarti memulai keamanan lebih awal dalam proses. Ketika organisasi menyadari bahwa perangkat lunak tidak pernah keluar dengan sempurna dan penuh dengan banyak lubang yang dapat dieksploitasi, bug, dan kerentanan logika bisnis yang memerlukan perbaikan dan penambalan kembali, mereka memahami bahwa membangun perangkat lunak yang aman memerlukan penggabungan dan konsolidasi banyak sumber daya.
Kesimpulan ini membuat para pemimpin DevOps dan R&D menjadi proaktif, memperoleh teknologi untuk menemukan dan menutup celah ini terlebih dahulu, dengan tujuan mengurangi biaya dan upaya sekaligus meningkatkan kualitas hasil mereka.
Dengan munculnya teknologi validasi keamanan berkelanjutan yang komprehensif, manfaat yang ditunjukkan dari ‘bergeser ke kiri’ sebagai bagian mendasar dari SDLC sekarang dapat diterapkan pada program keamanan siber Anda, dengan hasil yang jauh melebihi aspek teknis murni dari manajemen postur keamanan.
Pada tingkat pengembangan, konseptualisasi SDLC adalah hasil dari konvergensi berbagai garis pemikiran untuk mengoptimalkan proses. Dari perspektif keamanan siber, proses konvergensi pemikiran yang sama mengarah pada konsep peluncuran program jaminan keamanan berkelanjutan dengan menerapkan dasar-dasar teknologi Extended Security Posture Management (XSPM).
Siklus Hidup Manajemen Postur Keamanan
Seperti SDLC, XSPM lahir dari kebutuhan untuk mempertimbangkan seluruh siklus hidup manajemen postur keamanan, termasuk validasi dari perspektif ofensif. Sejak istilah ‘bergeser ke kiri’ diciptakan, sejumlah besar solusi deteksi dan respons yang dapat diintegrasikan ke dalam proses CI/CD telah muncul. Namun, bahkan mendalilkan tumpukan alat deteksi dan respons lanjutan yang terintegrasi dan dioptimalkan dengan sempurna, itu masih akan mengalami cacat struktural. Deteksi dan tanggapi adalah pendekatan reaktif yang menyerahkan inisiatif di tangan penyerang dan mengandaikan kemampuan untuk mendeteksi setiap dan semua serangan.
Pada kenyataannya, sifat lanskap ancaman siber yang semakin dinamis dan sifat pertahanan siber yang asimetris – penyerang hanya perlu berhasil sekali, sedangkan pembela perlu memblokir setiap serangan – berarti bahwa fokus secara eksklusif pada pendekatan deteksi dan respons reaktif adalah mirip dengan pertempuran perang terakhir. Waktunya telah tiba untuk beralih ke pergeseran lebih jauh ke kiri menuju pengintegrasian proses validasi keamanan berkelanjutan yang proaktif.
XSPM mencakup semua elemen validasi keamanan berkelanjutan dan mengaturnya dalam postur keamanan empat tahap siklus hidup – Nilai, Optimalkan, Rasionalkan, Yakinkan.
- Langkah ‘Menilai’ terdiri dari meluncurkan serangkaian serangan komprehensif yang mencakup rantai pembunuhan serangan dari awal hingga akhir.
- Langkah ‘Pengoptimalan’ mengidentifikasi kontrol keamanan yang salah dikonfigurasi, memungkinkan pengoptimalan untuk sering mengkompensasi CVE yang belum ditambal dan mengurangi beban kerja penambalan tim TI.
- Langkah ‘Rasionalisasi’ mengevaluasi kemanjuran tumpukan alat deteksi dan respons, memberikan informasi terperinci untuk meningkatkan konfigurasinya dan mengidentifikasi alat yang tumpang tindih dan kemampuan yang hilang.
- Langkah terakhir, ‘Menjamin’, mencakup proses analitik dinamis yang dapat disesuaikan sesuai kebutuhan dan digunakan untuk memvisualisasikan tren postur keamanan dari waktu ke waktu.
Produktivitas melebihi keamanan, mari buat keamanan menjadi produktif
Optimalisasi program keamanan siber sebagaimana difasilitasi oleh kerangka kerja dan teknologi XSPM memberikan pemanfaatan dana dan sumber daya yang diinvestasikan dalam keamanan siber dengan lebih baik. Mengurangi tumpang tindih, meminimalkan jendela tambalan, memprioritaskan beban kerja, mengatur KPI, dan manfaat lainnya secara langsung dihasilkan dari integrasi keamanan sejak dini, bukan secara retrospektif.
Untuk mencapai optimalisasi gabungan alokasi sumber daya dan postur keamanan ini, baik pemimpin keamanan maupun manajemen risiko pertama-tama perlu menetapkan dasar yang relevan dan tervalidasi. Dengan data yang berasal secara eksklusif dari array deteksi dan respons, kenyataannya adalah proses sekuensial yang tidak dioptimalkan yang mendorong langkah validasi keamanan proaktif di bagian belakang antrean dan menghasilkan pertentangan antara tim DevOps dan SOC. Tujuan yang tidak selaras di antara tim menyebabkan arus informasi kontradiktif yang kacau balau yang menghambat proses pengambilan keputusan, memperlambat operasi, dan berpotensi mengarah pada penerapan yang tidak aman.
Menggabungkan keduanya untuk perangkat lunak yang aman – manfaat memanggang XSPM di SDLC
Saat pengujian keamanan hanya dimulai di akhir SDLC, penundaan yang disebabkan dalam penerapan karena celah keamanan kritis yang tidak ditemukan menyebabkan keretakan antara tim DevOps dan SOC. Keamanan sering kali didorong ke belakang, dan tidak banyak kolaborasi saat memperkenalkan alat, atau metode baru, seperti meluncurkan serangan simulasi sesekali terhadap pipa CI/CD.
Sebaliknya, setelah pendekatan validasi keamanan berkelanjutan yang komprehensif dimasukkan ke dalam SDLC, emulasi teknik serangan yang dipanggil setiap hari melalui teknologi XSPM bawaan otomatisasi mengidentifikasi kesalahan konfigurasi di awal proses, mendorong kolaborasi erat antara DevSecOps dan DevOps. Dengan kolaborasi antar tim yang terintegrasi di seluruh siklus keamanan dan pengembangan perangkat lunak, bekerja dengan visibilitas langsung pada implikasi keamanan, penyelarasan tujuan kedua tim menghilangkan perselisihan dan gesekan sebelumnya yang lahir dari politik internal.
Menciptakan hasil eksponensial
Menggeser ke kiri ekstrem dengan validasi keamanan berkelanjutan yang komprehensif memungkinkan Anda untuk mulai memetakan dan memahami investasi yang dilakukan dalam berbagai teknologi deteksi dan respons serta menerapkan temuan untuk mendahului teknik serangan di seluruh rantai pembunuhan dan melindungi persyaratan fungsional yang sebenarnya.
Proses ini melengkapi tim TI dengan semua yang mereka butuhkan untuk mengidentifikasi peluang yang memperkuat dan menstabilkan manajemen postur keamanan sejak awal, menghindari penundaan yang mahal dalam penerapan dan meminimalkan risiko upaya pelanggaran yang berhasil, sementara tim SOC mendapatkan data yang tepat untuk membangun ancaman strategi informasi.
Bagaimana Anda akan bersikap proaktif hari ini tentang postur keamanan perusahaan Anda?
Catatan – Artikel ini ditulis dan disumbangkan oleh Ben Zilberman – Direktur Pemasaran Produk di Cymulate.