Kitap İncelemesi: Güvenlik Kaos Mühendisliği
Kelly Shortridge, Aaron Rinehart
Güvenlik Kaosu Mühendisliği – Yazılım ve sistemlerin dayanıklılığını destekleyin
O'Reilly Media, ilk baskı, 2023
406 sayfa, 40,59 Euro'dan başlayan fiyatlarla (e-kitap, ciltsiz)
ISBN: 978-1-0981-1382-7
Duyuru
Saldırılar giderek daha karmaşık hale geldikçe siber güvenlik, işletmelerin sürekli olarak karşılaştığı en büyük zorluklardan biridir. Tehlike durumu öyle bir seviyeye ulaştı ki artık tüm saldırılara karşı %100 savunma yapmak mümkün değil. Peki yazılım sistemlerinin doğru işleyişini ve dayanıklılığını nasıl garanti edebiliriz? O'Reilly tarafından yayınlanan Security Chaos Engineering adlı kitaplarında Kelly Shortridge ve Aaron Rinehart yeni yönler gösteriyor.
Güvenlik Kaos Mühendisliği (SCE), yazılım sistemlerini sorunlara duyarlı bir şekilde yanıt verebilecek şekilde tasarlamayı amaçlayan yeni bir düşünme biçimini tanımlar. Yaklaşım ilk bakışta zor gibi görünse de pratikte oldukça uygulanabilir olduğu ortaya çıkıyor. Sorun SCE'nin işe yaramaması değil: Esas olan, uygulanmasının genellikle şirket yapısına derin müdahaleler gerektirmesidir.
Kaos teorisinin temellerine giriş
Shortridge ve Rinehart karmaşık konuyu adım adım ele alıyor ve bütünsel olarak inceliyor. Sonuç olarak kaos teorisinin temelleri ve bunun farklı sistemlere nasıl uygulanabileceği ile başlıyorlar. Buradaki temel mesaj, bir güvenlik olayından sonra ideal olarak iyileşebilen esnek ve duyarlı bir sistemin, neden olunan hasarı azaltmanın en etkili yolu olduğudur.
Bu bağlamda sıklıkla kullanılan çeşitli kısaltmaların açıklanmasının yanı sıra, çalışma kanıtlanmış prosedürlere odaklanmaktadır. Bu noktada Kelly Shortridge'in kapsamlı pratik deneyimi netleşiyor. Okuyucuları şu ya da bu başlangıç tuzağına düşmekten kurtarıyor.
Gerekli geliştirme müdahaleleri ve uygulama yöntemleri
SCE'nin kurumsal düzeyde uygulanması, geliştirme sürecinin tüm bölümlerini etkiler. Shortridge, yazılım mühendisliği veya yazılım mimarisi sürecinin nasıl değişmesi gerektiği konusunda düşüncelerine başlıyor. Bu yerleşik yaklaşımlar genellikle bir yazılım mimarisinin nasıl başarısız olduğunu ve olası nedenlerin neler olduğunu analiz etmeyi amaçlamaktadır. Bu tür sorunlardan kaçınılabilirse veya en azından bunlara çözüm bulmak için uygun önlemler alınabilirse, daha sağlam yazılım sistemlerine giden yol neredeyse otomatik olarak açılacaktır.
Yazılım geliştirmede bileşen birleştirme teorisinin (Ted Faison'un olay odaklı programlama üzerine klasik çalışmasında formüle ettiği şekliyle) bu bağlamda tartışılması övgüye değerdir.
(Resim: O'Reilly)
Ayrıca, yazılımın bir bütün olarak geliştirilmesinde SCE'nin ihtiyaçlarının dikkate alınması da aynı derecede önemlidir. Tekrarlanan süreçlerin önemini vurgulamanın yanı sıra yazar, güvenlikle ilgili önlemlerin uygulanmasından nihai olarak kimin sorumlu olduğu sorusunu da ele alıyor. Bunu zaten burada belirtmek gerekir: Bu açıkça sadece güvenlik ekibinin işi değildir.
Kitabın bu bölümünde herhangi bir kod parçacığı bulunmamasına rağmen okuyucular, özellikle büyük şirketlerde uygulamaya yönelik pek çok bilgi birikimine sahip olacak. İş yüklerinin alternatif olarak bölünmesi tek başına daha az hata ve daha düşük arıza riskiyle güvenli yazılıma yol açar. Ayrıca tespit edilen saldırı girişimlerinin izlenmesi ve bunlara yanıt verilmesi SCE sürecinin önemli parçalarıdır.
Yazarlar, meta tasarım düzeyine ve farklı paydaşların sorumluluklarına bir gezi ile teknik hususları takip etmektedir. Güvenlik bir ürün olarak görülmeli ve uygulanmalıdır. Daha yenilikçi bir yaklaşım adına, tanımlanacak emniyet süreçlerinin ortak hedefleri aynı zamanda kritik durumların analizinden de çıkarılmalıdır.
Pratik kullanımda SCE
Çalışmanın özellikle teori ağırlıklı olmayan sonraki sekiz ve dokuzuncu bölümleri, güvenlik kaosu mühendisliğinin pratik kullanımlarını göstermektedir. Yazarlar bir deney kavramından yola çıkıyor: sistemi manipüle ederek (planlı veya kazara) kötü amaçlı bir duruma neden olmaya çalışan planlı bir saldırı oturumu. Shortridge ve Rinehart'ın düzinelerce potansiyel saldırı vektörünün bir listesini sunması takdire şayandır ve bazı egzotik örnekleri de dışarıda bırakmaz.
Son olarak, güvenlik kaosu mühendisliği konusundaki deneyimlerini paylaşan altı şirketin somut pratik örnekleri analiz ediliyor. Bu pratik raporlar, ana metinde ele alınmayan veya yetersiz bir şekilde ele alınan hususların ayrıntılı olarak bilinmesine ve anlaşılmasına yardımcı olur.
Siber güvenlik konusunda yeni bir düşünme biçimi
Güvenliğin kritik olduğu bir sektörde çalışan ve geçiş veya veri kullanılabilirliği gibi sorunlarla karşılaşan herkes, kitabı satın aldığına kesinlikle pişman olmayacaktır. Yenilikçi konseptler, şirkette siber güvenlik endişelerini dikkate alan dayanıklı bir kültür oluşturulmasına yardımcı olur. Bu nedenle eserin okunması şiddetle tavsiye edilir.
Annette Boschach
Tamoggemon Holding ks'nin eski sistemleriyle ilgileniyor ve yıllardır teknolojinin ve insanların birbirleri üzerindeki etkisiyle de ilgileniyor.
(harita)
Haberin Sonu