Sluit je aan bij de CEO’s van 26-28 juli voor Transform’s AI & Edge Week. Luister naar topleiders die onderwerpen bespreken die verband houden met AL/ML-technologie, conversatie-AI, IVA, NLP, Edge en meer. Reserveer nu uw gratis kaart!
Infrastructuur als code (IaC) wordt geleverd als een component ERUS RISICOgeautomatiseerd Dreigingsmodellering Applicatie beveiligingsplatform. Softwaregedefinieerde infrastructuur kan nu automatisch worden beheerd en ingericht door ontwikkelings- of operationele teams die IaC gebruiken, waardoor menselijke configuratie niet meer nodig is.
Stephen de Vries, CEO en mede-oprichter van IriusRisk, vertelde VentureBeat in een e-mailinterview dat het bedrijf geautomatiseerde bedreigingsmodellering en veilig ontwerp biedt, zodat organisaties “van links kunnen beginnen”. cyberbeveiliging In het programma wordt de beweging “naar links draaien” gepresenteerd. Hij merkte op dat organisaties inzicht krijgen in potentiële bedreigingen in hun software via het proces voor het modelleren van bedreigingen binnen het IriusRisk-platform, dat ontwikkelaars en beveiligingsteams gedetailleerde tegenmaatregelen biedt om bedreigingen op te lossen en beveiliging in te bedden in bestaande ontwikkelaarsworkflows.
IriusRisk zei dat deze nieuwste versie van zijn platform voor bedreigingsmodellering is ontworpen om het voor teams gemakkelijker te maken om bedreigingsmodellen voor cloudstructuren te maken. Het voegde eraan toe dat klanten een bedreigingsmodel kunnen bouwen op basis van een IaC-descriptor van cloudformatteringstools, zoals AWS CloudFormation en HashiCorp Terraform, evenals van diagramtools zoals Microsoft Visio, terwijl het ook toepasselijke bedreigingen en prescriptieve beveiligingscontroles bevat.
Geautomatiseerde dreigingsmodellering
Vanwege de snelle toename van cyberbeveiligingsrisico’s besteden bedrijven die applicaties ontwikkelen nu meer aandacht aan beveiligingsoplossingen die zijn gebouwd volgens voorzichtige principes. volgens SynopsysDeze richtlijnen omvatten dreigingsmodellering, die nu nodig is om applicaties te versterken om potentiële aanvallen in de toekomst te weerstaan.
volgens VeiligheidskompasrapportSlechts 25% van de ondervraagde bedrijven modelleert bedreigingen tijdens het verzamelen van vereisten en de ontwerpfasen van softwareontwikkeling, die voorafgaan aan de ontwikkeling van applicaties. Echter, een andere studie Een strategie om uitstekende beveiligingstechniek aan te moedigen, zegt hij, is om de noodzaak om handmatig systeem- en bedreigingsmodellen te maken te verminderen door in plaats daarvan automatisering te gebruiken om de werklast te verminderen en te voldoen aan de vereisten van het bedrijf en het beveiligingsteam.
Minder dan 10% van de ondervraagden in het Synopsys-onderzoek meldde dat hun bedrijven dreigingsmodellering uitvoeren op 90% of meer van de applicaties die ze maken, terwijl meer dan 50% van de bedrijven problemen meldt bij het automatiseren en integreren van dreigingsmodelleringsprocessen.
De Vries zei dat de geautomatiseerde aanpak van IriusRisk het modelleren van bedreigingen van een stabiel, langzaam, handmatig proces, uitgevoerd op whiteboards, naar een eenvoudig te implementeren beveiligingspraktijk brengt die vanaf het begin in de ontwikkelingscyclus is geïntegreerd. Hij merkte op dat IriusRisk tijd en kosten bespaart door mogelijke beveiligingsrisico’s vroeg tijdens het ontwerp te identificeren, wat de implementatietijd versnelt. Wat nog belangrijker is, voegde hij eraan toe, het zorgt ervoor dat programma’s met onveilige, risicovolle ontwerpfouten niet worden vrijgegeven die mogelijk moeten worden getest en gerepareerd in postproductie, of die helemaal niet worden geïdentificeerd door middel van een applicatiebeveiligingsscan, waardoor programma’s achterblijven. kwetsbaar in gevaar.
Volgens IriusRisk stellen de nieuwste updates klanten in staat om volledig geautomatiseerde end-to-end-activiteiten te bouwen met behulp van cloud-native ontwerpen. Het bedrijf zegt dat deze rechttoe rechtaan actie het eenvoudiger en schaalbaarder maakt om een dreigingsmodel te bouwen met ingebouwde, bruikbare tegenmaatregelen. Een organisatie kan de infrastructuur gebruiken als code om automatisch dreigingsmodellen te genereren in IriusRisk als het gebruik maakt van AWS CloudFormation of HashiCorp Terraform.
Het wereldwijde tekort aan talent aanpakken
wij werkstatistieken Naar schatting waren er in december 2020 wereldwijd 40 miljoen geschoolde arbeiders waar veel vraag naar was. Tegen 2030 lopen bedrijven wereldwijd het risico $ 8,4 biljoen aan inkomsten te verliezen als gevolg van tekorten aan vaardigheden, als dit patroon zich voortzet. Dit heeft een aantal effecten, waaronder een sterke vraag naar ontwikkelaarstalent en de druk die dit legt op beveiligingsteams.
De Vries zei dat IriusRisk de last van niet-beveiligingsprofessionals, zoals ontwikkelaars, verlicht door automatisering (zoals IaC) en het puntensysteem, dat indien nodig tegenmaatregelen en prioriteitsinstructies biedt. De Vries merkte op dat met beveiliging die steeds hoger op de prioriteitenlijst van de Raad van Bestuur komt te staan, dit helpt om een cultuur van veilige ontwikkeling binnen de organisatie te bevorderen en de last voor beveiligingsprofessionals en knelpunten vermindert die worden veroorzaakt door het herwerk dat nodig is tijdens het testen.
De Vries zei dat de IaC een essentiële volgende stap is in onze zoektocht om de grenzen van dreigingsmodellering te blijven verleggen en onze missie om implementatie gemakkelijker dan ooit te maken in meer omgevingen en op schaal. IaC maakt meer automatisering mogelijk en helpt dreigingsmodellen in handen te krijgen van meer niet-beveiligde mensen.”
De Vries zei dat andere dreigingsontwerpers grote concurrenten zijn op dit gebied. Hij zei echter dat het IriusRisk-platform voor bedreigingsmodellering zich onderscheidt door zijn open architectuur en op patronen gebaseerde benadering, in plaats van vast te houden aan een aantal methodologieën zoals STRIDE, PASTA of VAST. Hij voegde eraan toe dat het deze open benadering is die de opname van dergelijke methodologieën mogelijk maakt, maar organisaties ook in staat stelt hun eigen vereisten te definiëren voor het modelleren van regelgevende bedreigingen of branchespecifieke vereisten en normen (zoals de OWASP- of NIST-aanbevelingen).
VentureBeat-missie Het moet de digitale stadsarena worden voor technische besluitvormers om kennis op te doen over transformationele bedrijfstechnologie en transacties. Leer meer over lidmaatschap.