חמש הוכחות לכך ש-DevSecOp אינו דומה לספורט
אי אפשר להאשים את השוער ● לא יודעים מיהו היריב ולא משחקים עם אותם חוקים כמו היריבים ● מייק בורסל, ארכיטקט אבטחה ראשי, רד האט, מסביר
המונדיאל ווימבלדון מאחורינו. רבים צפו במשחקים, פעילות בה אנחנו מצטיינים, שלא כמו השתתפות פעילה בסוגי ספורט אלה ואחרים. השאלה היא באיזה דרכים דומה ספורט לעולם התוכנה, וליתר דיוק, לתהליך ה-DevOps (השילוב בין פיתוח לתפעול) השימושי והפופולרי. אם ישנו דבר אחד שאינו דומה לספורט, הוא נושא ה-DedvSecOps, השילוב של אבטחת מידע בתהליכי DevOps. הנה מספר דוגמאות לכך:
אי אפשר להאשים את השוער
במשחקי המונדיאל שהסתיימו זה עתה, ראינו שוב ושוב עד כמה קריטי תפקידו של השוער, לאורך המשחק ובוודאי בחלק המותח והמתסכל של בעיטות 11 הפנדלים. לא רק שכישלון השוער רע למצב הרוח של הקבוצה, אלא שהוא גם לא בהכרח משקף את אופן המשחק שלה.
יש משפט האומר: "עם DedvSecOps, אבטחה היא האחריות של כולם". נכון שלא כל אחד הינו מומחה אבטחה, אבל כולם צריכים לקחת על עצמם אחריות מסוימת להבנת התהליכים הנכונים בנושא ולביצועם, ואף פעם אין להטיל את האשמה על אדם מסוים כאשר משהו משתבש. ולא לשכוח: עם DedvSecOps יש תמיד הזדמנות לתקן מה שהשתבש, לעשות זאת במהירות ולבצע מבחנים כדי להבטיח שאותה פגיעות לא תתרחש שוב.
לא יודעים מיהו היריב
כאשר מדובר בספורט, בדרך כלל ברור למדי מיהו היריב, היכן הוא ומה הוא עושה בכל נקודת זמן במשחק. יתכן שלא ניתן יהיה לבלום אותו בכל הזדמנות, אך לפחות יודעים מיהו ומה הוא מנסה לעשות. במקרה של DedvSecOps, זה אפילו פחות נכון מאשר בעולם הרגיל של פרויקטי תוכנה, מפני שאנשי הצוות מפתחים, בוחנים ומפעילים שכבות שונות של המערך והיריבים יכולים להיות מגוונים, עם מערכי כישורים ומשאבים שונים.
החדשות הטובות הן שאם באמת עובדים כצוות, ניתן ליישם את הידע המשולב של המומחים השונים ברחבי השכבות באופן שבדרך כלל הינו מסובך מאוד במודל הסטנדרטי של "לתכנן, לפתח, לבחון, להטמיע"; מה שנותן תובנות רחבות ועמוקות יותר לשיפור אבטחת הפרויקט.
לא משחקים עם אותם חוקים כמו היריבים
זו נקודה בעייתית. כאשר משחקים בספורט, יש חוקים שצריך לפעול לפיהם והדבר נכון לגבי שני הצדדים. במידה ולא, השופט פוסק נגד הצד שמפר את החוקים. היה נחמד לחיות בעולם בו האקרים ותוקפים אחרים נתפסים תמיד ונענשים כאשר הם פועלים נגד תשתיות ואפליקציות. אבל למרבית הצער, אין סימן לכך שעתיד נפלא זה יהיה ממשי בקרוב. מאחר שלא סביר שניתן לרדוף אחרי היריב בזמן אמת עם תקיפת נגד יעילה, צריך לשקול באיזה פעולות ניתן לנקוט, איך ליישם אותן, וכמה מהר ניתן לעשות זאת.
חשוב לשים לב לכך שתחום זה אינו באחריותם הבלעדית של אנשי האבטחה בצוות. למרות שמומחי אבטחה אולי יכולים לתת תחזיות טובות על תקיפות צפויות, אלה הם אנשי ההנדסה והתפעול שממוצבים טוב ביותר כדי לצפות השפעה אפשרית של תקיפות על פעולת המערכת, והם מי שצריכים לתכנן את פעולות הנגד כאשר בעיות צצות.
הצוות כולו צריך לשחק כל הזמן
במרבית משחקי הספורט, רק חלק מהקבוצה נמצא על המגרש בזמן נתון – החמישייה בכדורסל או אחד עשר בכדורגל, אבל יש גם שחקנים על הספסל. אחד המאפיינים של DedvSecOps הוא שכולם יכולים להיות מעורבים לאורך התהליך. המאמן לא צריך לשבת על הקווים ויכול לצרף פסיכולוג, מומחה ביצועים ומומחים טכניים בכל עת שאלה נדרשים.
כפי שרואים זאת בשטח, לא עובר זמן רב לפני שלכל חבר צוות יש משהו לתרום לאור שינויים באפליקציה, בסביבת ההטמעה או בנוף איומי האבטחה. צוותי DedvSecOps גם לא צריכים להיות מבודדים מחלקים אחרים של הארגון. אם צריך להביא עזרה ליום או יומיים, יש לעשות זאת. לא לפחד לנוע במהירות ולהודות כי יש צורך בעזרה.
זה בסדר להיכשל – שוב ושוב
כאשר חושבים על ספורט, חושבים על איך הקבוצות שלנו ינצחו בכל משחק. בפועל, הספורטאיות והספורטאים הטובים ביותר וחברי הקבוצות הטובות ביותר, גם יודעים איך להפסיד ואיך לחזור מחוזקים מתבוסה. ב-DedvSecOps צריך לעודד את הצוותים להיכשל לעתים קרובות ובמהירות, מפני שאפליקציות ופרויקטים ישתפרו רק דרך התנסות וחוויות של כישלון.
כבר אין מי שמאמין שמערכות או אפליקציות הינן חסינות מכישלונות. השאלה היא לא אם תתבצע תקיפה ותהיה פריצה, אלא מתי. יש לתכנן את התהליכים סביב כך. לנטר ולחפש התנהגות לא נורמלית, להיות מוכנים לספק פתרון, אך יותר מכל להבטיח את קיומם של תהליכים ללימוד ממה שהשתבש, ולבנות בסיבוב הבא פרויקט וצוות טובים יותר, מוצקים יותר וחסינים יותר.
אז נכון שיש דמיון בין DedvSecOps וספורט, ויש חפיפות רבות בין שני העולמות. חלק מהדוגמאות המובנות מאליהן הן איך ביצוע שינוי גדול דורש מחויבות מלמעלה למטה, כמו גם מלמטה למעלה; החשיבות של בניית צוות או קבוצה שכל חבריה יכולים לתקשר היטב אלה עם אלה; היכולת להגיב לאיומים בזמן אמת. לא תמיד יש הבדלים, אך בהחלט יותר מעורר מחשבה להשוות משהו לדבר הפוך מאשר לדבר דומה לו.
שלכולם יהיה קיץ מהנה של ספורט ו-DedvSecOps.
הכותב הוא ארכיטקט אבטחה ראשי, רד האט.
תגובות
(0)