Menilai postur keamanan Anda

Postur keamanan adalah kemampuan organisasi untuk mendeteksi, merespons, dan memulihkan ancaman. Hal ini mencakup kesiapan karyawan, hardware, software, kebijakan, dan proses di organisasi di seluruh siklus proses software.

Ada sejumlah framework dan alat yang dapat Anda gunakan untuk menilai postur keamanan dan mengidentifikasi cara memitigasi ancaman.

Praktik pengiriman software

Postur keamanan yang kuat memerlukan fondasi yang kuat dalam praktik terbaik pengiriman software, dan praktik ini lebih dari sekadar menerapkan alat serta kontrol teknis. Misalnya, jika proses persetujuan perubahan tidak jelas, perubahan yang tidak diinginkan akan lebih mudah dimasuki ke supply chain software Anda. Jika tim tidak direkomendasikan untuk melaporkan masalah, mereka mungkin ragu untuk melaporkan masalah keamanan.

DevOps Research and Assessment (DORA) melakukan riset independen tentang praktik dan kemampuan tim teknologi berperforma tinggi. Untuk menilai performa tim dan mempelajari cara meningkatkan performa tim, gunakan referensi DORA berikut:

• Lakukan Pemeriksaan Cepat DevOps DORA untuk mendapatkan beberapa masukan cepat tentang perbandingan antara organisasi Anda dan organisasi lain.
• Baca capabilities DevOps teknis, proses, pengukuran, dan budaya yang diidentifikasi oleh DORA.

Framework untuk postur keamanan

NIST Secure Software Development Framework (SSDF) dan Cybersecurity Assessment Framework (CAF) adalah framework yang dikembangkan oleh pemerintah untuk membantu organisasi menilai postur keamanan mereka dan memitigasi ancaman supply chain. Framework ini mempertimbangkan siklus proses pengembangan software serta aspek lain yang terkait dengan keamanan software seperti rencana respons insiden. Kompleksitas dan cakupan framework ini dapat memerlukan investasi waktu dan sumber daya yang besar.

Supply chain Levels for Software Artifacts (SLSA) adalah framework yang bertujuan untuk menjadikan implementasi penilaian dan mitigasi lebih mudah diakses dan bersifat inkremental. Panduan ini menjelaskan ancaman supply chain dan mitigasi terkait serta contoh alat untuk menerapkan mitigasi. Health Connect juga mengelompokkan persyaratan untuk memperkuat postur keamanan secara bertahap sehingga Anda dapat memprioritaskan dan menerapkan perubahan secara bertahap. SLSA terutama berfokus pada pipeline pengiriman software, jadi Anda harus menggunakannya bersama alat penilaian lain seperti SSDF dan CAF.

SLSA terinspirasi oleh Otorisasi Biner untuk Borg internal Google, yakni pemeriksaan penegakan wajib untuk semua beban kerja produksi Google.

Software Delivery Shield adalah solusi keamanan supply chain software yang terkelola sepenuhnya di Google Cloud yang menggabungkan praktik terbaik dalam SLSA. Anda dapat melihat insight tentang postur keamanan Anda, termasuk tingkat SLSA build Anda.

Pengelolaan dependensi dan artefak

Dengan melihat kerentanan dalam software, Anda dapat merespons dan mengatasi potensi ancaman secara proaktif sebelum merilis aplikasi kepada pelanggan. Anda dapat menggunakan alat berikut untuk meningkatkan visibilitas kerentanan.

Pemindaian kerentanan

Layanan pemindaian kerentanan seperti Artifact Analysis membantu Anda mengidentifikasi kerentanan umum dalam software.

Manajemen ketergantungan

Open Source Insights adalah sumber terpusat untuk informasi tentang grafik dependensi, kerentanan yang diketahui, dan lisensi yang terkait dengan software open source. Gunakan situs ini untuk mempelajari dependensi Anda.

Project Open Source Insights juga membuat data ini tersedia sebagai Set Data Google Cloud. Anda dapat menggunakan BigQuery untuk mempelajari dan menganalisis data.

Kebijakan kontrol sumber

Scorecards adalah alat otomatis yang mengidentifikasi praktik supply chain software yang berisiko di project GitHub Anda.

Allstar adalah Aplikasi GitHub yang terus memantau organisasi atau repositori GitHub agar mematuhi kebijakan yang dikonfigurasi. Misalnya, Anda dapat menerapkan kebijakan ke organisasi GitHub yang memeriksa kolaborator di luar organisasi yang memiliki administrator atau akses push.

Untuk mempelajari cara mengelola dependensi lebih lanjut, baca Pengelolaan dependensi

Kesadaran tim tentang pengamanan cyber

Jika tim Anda memahami ancaman dan praktik terbaik supply chain software, mereka dapat merancang dan mengembangkan aplikasi yang lebih aman.

Dalam State of Cybersecurity 2021, Part 2, sebuah survei terhadap para profesional di bidang keamanan informasi, responden survei melaporkan bahwa program pelatihan dan awareness pengamanan cyber memiliki beberapa dampak positif (46%) atau dampak positif yang kuat (32%) terhadap kesadaran karyawan.

Referensi berikut dapat membantu Anda mempelajari lebih lanjut keamanan dan keamanan supply chain di Google Cloud:

• Blueprint dasar Google Cloud Enterprise menjelaskan penyiapan struktur organisasi, autentikasi dan otorisasi, hierarki resource, jaringan, logging, kontrol detektif, dan lainnya. Panduan ini adalah salah satu panduan di pusat praktik terbaik keamanan Google Cloud.
• Developing Secure Software mengajarkan praktik pengembangan software dasar dalam konteks keamanan supply chain software. Kursus ini berfokus pada praktik terbaik untuk mendesain, mengembangkan, dan menguji kode, tetapi juga membahas topik seperti menangani pengungkapan kerentanan, kasus jaminan, dan pertimbangan untuk distribusi dan deployment software. Open Source Security Foundation (OpenSSF) membuat pelatihan.

Mempersiapkan perubahan

Setelah mengidentifikasi perubahan yang ingin dilakukan, Anda harus merencanakan perubahan tersebut.

• Mengidentifikasi praktik terbaik dan mitigasi untuk meningkatkan keandalan dan keamanan supply chain Anda.

• Mengembangkan pedoman dan kebijakan untuk memastikan bahwa tim menerapkan perubahan dan mengukur kepatuhan secara konsisten. Misalnya, kebijakan perusahaan Anda mungkin menyertakan kriteria untuk deployment yang Anda terapkan dengan Otorisasi Biner. Referensi berikut dapat membantu Anda:

  • Minimum Viable Secure Product, checklist keamanan kontrol untuk menetapkan postur keamanan dasar bagi suatu produk. Anda dapat menggunakan checklist untuk menetapkan persyaratan kontrol keamanan minimum dan mengevaluasi software oleh vendor pihak ketiga.
  • Publikasi Keamanan dan Privasi untuk Sistem Informasi dan Organisasi NIST (SP 800-53).

• Rencanakan perubahan inkremental untuk mengurangi ukuran, kompleksitas, dan dampak dari setiap perubahan. Hal ini juga membantu anggota tim untuk menyesuaikan diri dengan setiap perubahan, memberikan masukan, dan menerapkan pelajaran yang telah Anda pelajari ke perubahan di masa mendatang.

Referensi berikut dapat membantu Anda merencanakan dan menerapkan perubahan.

• ROI Transformasi DevOps adalah info produk yang menjelaskan cara memperkirakan nilai dan mendukung investasi dalam transformasi DevOps.

• Program Modernisasi Aplikasi Cloud Google memberikan penilaian terpandu secara menyeluruh, yang mengukur hasil utama (kecepatan dan stabilitas serta kejenuhan) serta mengidentifikasi kemampuan teknis, proses, dan budaya yang meningkatkan hasil tersebut untuk organisasi Anda. Lihat postingan blog pengumuman CAMP untuk informasi selengkapnya tentang program ini.

• Cara mengubah menyediakan panduan untuk membantu Anda merencanakan dan menerapkan perubahan. Menumbuhkan budaya yang mendukung perubahan inkremental dan berkelanjutan akan menghasilkan perubahan yang lebih sukses.

• NIST Secure Software Delivery Framework menjelaskan praktik keamanan software berdasarkan praktik yang ditetapkan organisasi seperti The Software Alliance, Open Web Application Security Project, dan SAFECode. Panduan ini mencakup serangkaian praktik untuk mempersiapkan organisasi Anda serta praktik untuk menerapkan perubahan dan merespons kerentanan.

Langkah selanjutnya

• Pelajari praktik terbaik untuk melindungi supply chain software Anda.
• Pelajari Perlindungan Pengiriman Software.