وقتی سازمانها درباره "امنیت سازمانی" صحبت میکنند، اغلب انتزاعی به نظر میرسد؛ داشبوردها، سیاستها و چکلیستهای انطباق. برای ویشنو گاتلا، این چیزی بسیار ملموستر است. در طول دهه گذشته، او در اتاقهایی حضور داشته که تصمیمات پرمخاطره اتخاذ میشود و در کنار بانکها، دانشگاهها و ارائهدهندگان زیرساختهای حیاتی کار کرده تا عملیات دیجیتال آنها را ایمن و روان نگه دارد. به عنوان یک مشاور ارشد امنیت زیرساخت و برنامههای کاربردی متخصص در F5 BIG-IP و اتوماسیون فایروال برنامههای کاربردی وب، گاتلا شغل خود را بر تبدیل ابزارهای امنیتی قدرتمند اما پیچیده به دفاعهای عملی که واقعاً در دنیای واقعی کار میکنند، بنا نهاده است.
در این مصاحبه با TechBullion، او درباره واقعیت ایمنسازی سیستمهای حیاتی، نحوه تفکر تیمهای با تجربه درباره ریسک و انعطافپذیری، و اینکه چرا امنیت مؤثر برنامههای کاربردی به اندازه فناوری، درباره افراد و فرآیندها است، تأمل میکند.
میتوانید کمی بیشتر درباره خودتان و تأثیری که در حوزه تخصصی خود ایجاد میکنید بگویید؟
نام من ویشنو گاتلا است. من یک مشاور ارشد خدمات حرفهای هستم که در امنیت و زیرساخت برنامههای کاربردی سازمانی تخصص دارم، با بیش از یک دهه تجربه در پشتیبانی از سازمانهای بسیار تنظیمشده در ایالات متحده، از جمله مؤسسات مالی بزرگ، دانشگاهها و محیطهای زیرساخت حیاتی.
کار من در درجه اول بر استراتژی فایروال برنامههای کاربردی وب (WAF)، اتوماسیون امنیت برنامههای کاربردی و تحویل انعطافپذیر برنامههای کاربردی متمرکز است، بهویژه در محیطهایی که کنترلهای امنیتی وجود دارد اما در شرایط تولید واقعی به طور قابل اعتماد عمل نمیکنند. من به سازمانها کمک میکنم تا از پیادهسازیهای مبتنی بر انطباق فراتر روند و کنترلهای امنیتی را از طریق اعتبارسنجی، اتوماسیون و تصمیمگیری مبتنی بر ریسک به دفاعهای عملیاتی مؤثر و قابل اندازهگیری ترجمه کنند.
تأثیر کار من در کاهش حوادث تولید، بهبود در دسترس بودن برنامههای کاربردی در طول رویدادهای امنیتی و عملیات امنیتی قابل پیشبینیتر در محیطهای حیاتی که خرابی یا پیکربندی نادرست ریسک قابل توجهی دارد، منعکس میشود.
از دهه کار شما در بخشهای بسیار تنظیمشده، چه شاخصهای عملی نشان میدهند که برنامه امنیت برنامههای کاربردی یک سازمان توسط انطباق هدایت میشود نه مدیریت ریسک واقعی؟
یک برنامه مبتنی بر انطباق معمولاً با اتکای آن بر شاخصهای ثابت به جای نتایج عملیاتی قابل شناسایی است. نشانههای رایج شامل کنترلهای امنیتی است که از نظر فنی مستقر شدهاند اما به ندرت تحت شرایط ترافیک واقعی آزمایش میشوند، سیاستهایی که به طور نامحدود در حالتهای یادگیری یا نظارت باقی میمانند و معیارهای موفقیت که به ممیزیها مرتبط هستند نه کاهش حوادث.
شاخص دیگر، تصمیمگیری است که مستندسازی را بر اعتبارسنجی اولویت میدهد. وقتی تیمها نمیتوانند به وضوح توضیح دهند که کدام تهدیدها به طور فعال کاهش یافتهاند، یا وقتی کنترلها به طور معمول برای حفظ زمان کار بدون ارزیابی ساختاریافته ریسک دور زده میشوند، نشان میدهد که برنامه برای برآوردن چکلیستهای نظارتی طراحی شده است نه مدیریت ریسک واقعی.
وقتی کنترلهای امنیتی یک سرویس حیاتی را مختل میکنند، تیمهای با تجربه چگونه تعیین میکنند چه چیزی را تنظیم کنند، چه چیزی را بازگردانند و چه چیزی باید در جای خود باقی بماند؟
تیمهای بالغ بین شکست کنترل و اصطکاک کنترل تمایز قائل میشوند. اولین قدم جداسازی این است که آیا اختلال ناشی از فرضیات نادرست، خط پایهگذاری ناقص یا تعارض واقعی بین حفاظت و رفتار برنامه کاربردی است.
کنترلهایی که تهدیدات شناختهشده و با تأثیر بالا را برطرف میکنند، به ندرت به طور کامل حذف میشوند. در عوض، تیمهای با تجربه دامنه، آستانههای اجرایی یا منطق اتوماسیون را تنظیم میکنند در حالی که حفاظتهای خط پایه را حفظ میکنند. بازگشتها برای تغییراتی رزرو شدهاند که بیثباتی سیستمی ایجاد میکنند، نه برای کنترلهایی که صرفاً نیاز به اصلاح دارند.
این رویکرد نیاز به اطمینان در تلهمتری، تاریخچه تغییرات و دید ترافیک دارد، بدون آنها، تیمها تمایل دارند بیش از حد تصحیح کنند و امنیت را بیجهت تضعیف کنند.
رایجترین ریسکهای انعطافپذیری که هنگام عملکرد پلتفرمهای WAF در محیطهای ترکیبی آنپرمیس و ابری توسط شرکتها دستکم گرفته میشوند، کدامند؟
یکی از دستکمگرفتهشدهترین ریسکها، انحراف پیکربندی در محیطها است. سیاستهایی که در محیط آنپرمیس به درستی رفتار میکنند ممکن است در استقرارهای ابری به دلیل تفاوتها در الگوهای ترافیک، رفتار مقیاسپذیری و یکپارچگیهای upstream بسیار متفاوت عمل کنند.
ریسک دیگر، مالکیت تکهتکه شده است. وقتی تیمهای ابری و آنپرمیس به طور مستقل عمل میکنند، ثبات اجرا و هماهنگی پاسخ به حوادث آسیب میبیند. این تکهتکه شدن اغلب فقط در طول خرابیها یا حملات فعال قابل مشاهده میشود، زمانی که مسیرهای پاسخ نامشخص هستند.
در نهایت، اتوماسیونی که از محیط آگاه نیست میتواند شکستها را در مقیاس تقویت کند و پیکربندیهای نادرست کوچک را به اختلالات گسترده تبدیل کند.
در بانکها و دانشگاههای بزرگ، کدام موانع حاکمیتی معمولاً مانع استقرار و اصلاح مؤثر WAF میشوند؟
رایجترین مانع، پاسخگویی نامشخص است. پلتفرمهای WAF اغلب بین تیمهای زیرساخت، برنامه کاربردی و امنیت قرار میگیرند، بدون اینکه یک گروه واحد مالک نتایج باشد. این منجر به اصلاح کند و پیکربندیهای محافظهکارانه میشود که ثبات را بر حفاظت اولویت میدهند.
حاکمیت تغییر چالش دیگر است. فرآیندهای تأیید طولانی از بهروزرسانیهای بهموقع سیاست منصرف میکنند، حتی زمانی که ریسکها به خوبی درک شدهاند. با گذشت زمان، این منجر به حفاظتهای قدیمی میشود که دیگر با رفتار در حال تکامل برنامه کاربردی یا مدلهای تهدید همراستا نیستند.
برنامههای مؤثر این موضوع را با همراستا کردن مالکیت با نتایج و جاسازی تصمیمات امنیتی در گردشهای کاری عملیاتی به جای رفتار با آنها به عنوان استثنا، برطرف میکنند.
چگونه سازمانها را از پاسخ واکنشی به حوادث به سمت دفاع پیشگیرانه از برنامه کاربردی بدون ایجاد اصطکاک عملیاتی راهنمایی میکنید؟
انتقال با تغییر تمرکز از مسدود کردن رویدادها به درک الگوها آغاز میشود. به جای واکنش به هشدارهای فردی، تیمها از شناسایی رفتارهای تکرارشونده، مسیرهای حمله و حساسیتهای برنامه کاربردی بهره میبرند.
اتوماسیون نقش دارد، اما فقط زمانی که بر اساس فرضیات اعتبارسنجیشده باشد. دفاع پیشگیرانه با اجرای تدریجی حفاظتها، اندازهگیری مداوم تأثیر و تنظیم کنترلها بر اساس نتایج مشاهدهشده به جای ریسک نظری حاصل میشود.
به همان اندازه مهم، همکاری است. تیمهای امنیتی باید کنترلها را به عنوان فعالکنندههای در دسترس بودن به جای موانع قاب بندی کنند تا پذیرش پایدار به دست آورند.
برای تعیین اینکه آیا اتوماسیون WAF واقعاً حوادث دنیای واقعی را کاهش میدهد، به چه سیگنالهای قابل اندازهگیری متکی هستید؟
سیگنالهای معنادار شامل کاهش در انواع حوادث تکراری، کاهش مداخله دستی در طول حملات و بهبود میانگین زمان رفع مشکل بدون افزایش مثبتهای کاذب است.
شاخص مهم دیگر، قابل پیشبینی بودن است. وقتی کنترلهای خودکار به طور مداوم در انتشارها و تغییرات ترافیک رفتار میکنند، اطمینان عملیاتی افزایش مییابد. برعکس، اتوماسیونی که نوسان یا رفتار غیرقابل توضیح ایجاد میکند اغلب نشاندهنده اعتبارسنجی ناکافی است.
معیارهای مرتبط فقط با حجم هشدار ناکافی هستند؛ تمرکز باید بر تأثیر حادثه و ثبات عملیاتی باشد.
هنگام حفاظت از برنامههای کاربردی قدیمی با قابلیتهای WAF مدرن، معمولاً چه سازشهایی را با تیمهای برنامه کاربردی و پلتفرم مذاکره میکنید؟
سازش اولیه شامل پذیرش اجرای جزئی در ازای بهبود بلندمدت است. برنامههای کاربردی قدیمی اغلب نمیتوانند بلافاصله پروفایلهای امنیتی دقیق را تحمل کنند، بنابراین حفاظتها به تدریج معرفی میشوند.
تیمها ممکن است موافقت کنند که ابتدا از بردارهای حمله حیاتی محافظت کنند در حالی که زمان برای اصلاح رفتار برنامه کاربردی که مثبتهای کاذب را ایجاد میکند، اجازه میدهند. کلید اطمینان از این است که اجرای کاهشیافته موقتی و قابل اندازهگیری است، نه یک استثنای دائمی.
جدول زمانی واضح و پاسخگویی مشترک کمک میکند تا محدودیتهای قدیمی به شکافهای امنیتی دائمی تبدیل نشوند.
بر اساس تجربه شما در محیطهای زیرساخت حیاتی، کدام تغییرات فرهنگی بیش از فناوری در بهبود نتایج امنیتی اهمیت دارند؟
تأثیرگذارترین تغییر فرهنگی، تغییر از اجتناب از سرزنش به مسئولیت مشترک است. وقتی تیمها حوادث امنیتی را به عنوان شکست سیستم میبینند نه اشتباهات فردی، علل ریشهای به طور مؤثرتر برطرف میشوند.
تغییر حیاتی دیگر، ارزشگذاری به بازخورد عملیاتی بر فرضیات است. تیمهایی که به طور منظم کنترلها را در برابر ترافیک واقعی و حوادث واقعی اعتبارسنجی میکنند، بهتر از تیمهایی عمل میکنند که فقط به مدلهای زمان طراحی متکی هستند.
در نهایت، فرهنگ تعیین میکند که آیا فناوری به عنوان یک محافظ ثابت استفاده میشود یا یک دفاع به طور مداوم در حال بهبود.
به آینده نگاه کنید، کدام تحول در معماری ابری یا برنامه کاربردی بیشترین چالش را برای مدلهای امنیتی سنتی سازمانی ایجاد میکند و چرا؟
انتزاع فزاینده زیرساخت از طریق خدمات مدیریتشده، پلتفرمهای بدون سرور و معماریهای برنامه کاربردی توزیعشده، مدلهای امنیتی ساختهشده حول نقاط کنترل متمرکز را به چالش میکشد.
همانطور که اجرا به برنامه کاربردی نزدیکتر میشود و پویاتر میشود، رویکردهای سنتی محیط محور اثربخشی خود را از دست میدهند. شرکتها باید با تأکید بر دید، اتوماسیون و سیاست مبتنی بر قصد به جای مجموعه قوانین ثابت، سازگار شوند.
تیمهای امنیتی که در کنار معماری برنامه کاربردی مدرن تکامل نمییابند، خطر از دست دادن ارتباط را دارند، حتی اگر ابزارهای آنها از نظر فنی پیچیده باقی بمانند.
