Când organizațiile vorbesc despre "securitatea întreprinderii", adesea sună abstract; tablouri de bord, politici și liste de verificare a conformității. Pentru Vishnu Gatla, este ceva mult mai tangibil. În ultimul deceniu, a fost în camerele unde se iau decizii importante, lucrând alături de bănci, universități și furnizori de infrastructură critică pentru a menține operațiunile lor digitale sigure și să funcționeze fără probleme. Ca consultant senior în securitatea infrastructurii și aplicațiilor, specializat în F5 BIG-IP și automatizarea firewall-urilor pentru aplicații web, Gatla și-a construit o carieră din transformarea instrumentelor de securitate puternice dar complexe în apărări practice care funcționează efectiv în lumea reală.
În acest interviu cu TechBullion, el reflectează asupra a ceea ce înseamnă cu adevărat să securizezi sisteme critice, cum gândesc echipele experimentate despre risc și reziliență și de ce securitatea eficientă a aplicațiilor se referă la oameni și procese la fel de mult ca la tehnologie.
Ne puteți spune mai multe despre dumneavoastră și despre impactul pe care îl aveți în domeniul dumneavoastră de expertiză?
Numele meu este Vishnu Gatla. Sunt Consultant Senior în Servicii Profesionale, specializat în securitatea aplicațiilor întreprinderii și infrastructură, cu peste un deceniu de experiență în sprijinirea organizațiilor foarte reglementate din Statele Unite, inclusiv instituții financiare mari, universități și medii de infrastructură critică.
Munca mea se concentrează în principal pe strategia firewall-ului pentru aplicații web (WAF), automatizarea securității aplicațiilor și livrarea rezistentă a aplicațiilor, în special în medii în care controalele de securitate există dar nu reușesc să funcționeze fiabil în condiții reale de producție. Ajut organizațiile să depășească implementările orientate spre conformitate, traducând controalele de securitate în apărări eficiente operațional și măsurabile prin validare, automatizare și luarea deciziilor bazate pe risc.
Impactul muncii mele se reflectă în reducerea incidentelor de producție, disponibilitatea îmbunătățită a aplicațiilor în timpul evenimentelor de securitate și operațiuni de securitate mai previzibile în medii critice unde timpul de nefuncționare sau configurarea greșită comportă un risc semnificativ.
Din deceniul dumneavoastră de muncă în sectoare foarte reglementate, ce indicatori practici dezvăluie că programul de securitate al aplicațiilor unei organizații este condus de conformitate mai degrabă decât de gestionarea reală a riscurilor?
Un program orientat spre conformitate este de obicei identificabil prin dependența sa de indicatori statici mai degrabă decât de rezultate operaționale. Semnele comune includ controale de securitate care sunt implementate tehnic dar rareori testate în condiții reale de trafic, politici care rămân în moduri de învățare sau monitorizare pe termen nelimitat și valori de succes legate de audituri mai degrabă decât de reducerea incidentelor.
Un alt indicator este luarea deciziilor care prioritizează documentația în detrimentul validării. Când echipele nu pot explica clar ce amenințări sunt atenuate activ, sau când controalele sunt ocolite în mod de rutină pentru a păstra timpul de funcționare fără evaluarea structurată a riscurilor, aceasta sugerează că programul este conceput pentru a satisface listele de verificare reglementare mai degrabă decât pentru a gestiona riscul real.
Când controalele de securitate perturbă un serviciu critic, cum determină echipele experimentate ce să ajusteze, ce să retragă și ce trebuie să rămână în vigoare?
Echipele mature fac distincție între eșecul controlului și frecarea controlului. Primul pas este izolarea dacă perturbarea este cauzată de presupuneri incorecte, determinarea incompletă a liniei de bază sau un conflict real între protecție și comportamentul aplicației.
Controalele care abordează amenințări cunoscute cu impact mare sunt rareori eliminate complet. În schimb, echipele experimentate ajustează domeniul de aplicare, pragurile de aplicare sau logica de automatizare, păstrând în același timp protecțiile de bază. Retragerea este rezervată pentru modificările care introduc instabilitate sistemică, nu pentru controalele care necesită doar rafinare.
Această abordare necesită încredere în telemetrie, istoricul schimbărilor și vizibilitatea traficului; fără acestea, echipele tind să supracorecteze și să slăbească securitatea în mod inutil.
Care sunt cele mai frecvent subestimate riscuri de reziliență când întreprinderile operează platforme WAF în medii hibride on-premise și cloud?
Unul dintre cele mai subestimate riscuri este derivarea configurației în toate mediile. Politicile care se comportă corect on-premise pot funcționa foarte diferit în implementările cloud datorită diferențelor în modelele de trafic, comportamentul de scalare și integrările upstream.
Un alt risc este proprietatea fragmentată. Când echipele cloud și on-premise operează independent, consistența aplicării și coordonarea răspunsului la incidente suferă. Această fragmentare devine adesea vizibilă doar în timpul întreruperilor sau atacurilor active, când căile de răspuns sunt neclare.
În cele din urmă, automatizarea care nu este conștientă de mediu poate amplifica eșecurile la scară, transformând configurările greșite mici în perturbări pe scară largă.
În băncile mari și universități, ce bariere de guvernanță împiedică cel mai frecvent implementarea și remediere eficientă a WAF?
Cea mai frecventă barieră este responsabilitatea neclară. Platformele WAF se situează adesea între echipele de infrastructură, aplicații și securitate, fără ca un singur grup să dețină rezultatele. Acest lucru duce la remediere lentă și configurații conservatoare care prioritizează stabilitatea în detrimentul protecției.
Guvernanța schimbărilor este o altă provocare. Procesele îndelungate de aprobare descurajează actualizările în timp util ale politicilor, chiar și atunci când riscurile sunt bine înțelese. În timp, acest lucru duce la protecții depășite care nu se mai aliniază cu comportamentul în evoluție al aplicațiilor sau modelele de amenințare.
Programele eficiente abordează acest lucru prin alinierea proprietății cu rezultatele și încorporarea deciziilor de securitate în fluxurile de lucru operaționale mai degrabă decât tratarea lor ca excepții.
Cum ghidați organizațiile de la răspunsul reactiv la incidente către apărarea proactivă a aplicațiilor fără a crea fricțiuni operaționale?
Tranziția începe prin schimbarea focusului de la blocarea evenimentelor la înțelegerea modelelor. Mai degrabă decât să reacționeze la alerte individuale, echipele beneficiază de identificarea comportamentelor recurente, căilor de atac și sensibilităților aplicațiilor.
Automatizarea joacă un rol, dar numai atunci când este întemeiată pe presupuneri validate. Apărarea proactivă se realizează prin aplicarea incrementală a protecțiilor, măsurarea continuă a impactului și ajustarea controalelor pe baza rezultatelor observate mai degrabă decât a riscului teoretic.
La fel de important este colaborarea. Echipele de securitate trebuie să încadreze controalele ca facilitatori ai disponibilității mai degrabă decât ca obstacole pentru a câștiga adoptarea susținută.
Pe ce semnale măsurabile vă bazați pentru a determina dacă automatizarea WAF reduce cu adevărat incidentele din lumea reală?
Semnalele semnificative includ reduceri ale tipurilor de incidente repetate, intervenția manuală redusă în timpul atacurilor și timpul mediu îmbunătățit până la rezolvare fără creșterea pozitivelor false.
Un alt indicator important este previzibilitatea. Când controalele automate se comportă consistent în lansări și modificări ale traficului, încrederea operațională crește. Dimpotrivă, automatizarea care introduce volatilitate sau comportament inexplicabil indică adesea validare insuficientă.
Valorile legate doar de volumul alertelor sunt insuficiente; focusul ar trebui să fie pe impactul incidentului și stabilitatea operațională.
Când protejați aplicațiile vechi cu capabilități moderne WAF, ce compromisuri negociați de obicei cu echipele de aplicații și platformă?
Compromisul principal implică acceptarea aplicării parțiale în schimbul îmbunătățirii pe termen lung. Aplicațiile vechi adesea nu pot tolera profiluri de securitate stricte imediat, așa că protecțiile sunt introduse progresiv.
Echipele pot fi de acord să protejeze mai întâi vectorii de atac critici, permițând în același timp timp pentru a remedia comportamentul aplicației care declanșează pozitive false. Cheia este asigurarea că aplicarea redusă este temporară și măsurabilă, nu o excepție permanentă.
Termenele clare și responsabilitatea partajată ajută la prevenirea transformării constrângerilor moștenite în lacune de securitate permanente.
Pe baza experienței dumneavoastră în mediile de infrastructură critică, ce schimbări culturale contează mai mult decât tehnologia în îmbunătățirea rezultatelor de securitate?
Cea mai importantă schimbare culturală este trecerea de la evitarea vinovăției la responsabilitatea partajată. Când echipele văd incidentele de securitate ca eșecuri ale sistemului mai degrabă decât greșeli individuale, cauzele principale sunt abordate mai eficient.
O altă schimbare critică este valorizarea feedback-ului operațional în detrimentul presupunerilor. Echipele care validează regulat controalele împotriva traficului real și incidentelor reale depășesc pe cele care se bazează exclusiv pe modele de timp de proiectare.
În cele din urmă, cultura determină dacă tehnologia este folosită ca o protecție statică sau ca o apărare în continuă îmbunătățire.
Privind înainte, ce transformare în cloud sau arhitectura aplicației va provoca cel mai mult modelele tradiționale de securitate ale întreprinderii și de ce?
Abstractizarea crescândă a infrastructurii prin servicii gestionate, platforme serverless și arhitecturi de aplicații distribuite va provoca modelele de securitate construite în jurul punctelor de control centralizate.
Pe măsură ce aplicarea se apropie de aplicație și devine mai dinamică, abordările tradiționale centrate pe perimetru pierd eficiență. Întreprinderile vor trebui să se adapteze prin accentuarea vizibilității, automatizării și politicii bazate pe intenție mai degrabă decât a seturilor de reguli statice.
Echipele de securitate care nu reușesc să evolueze alături de arhitectura modernă a aplicațiilor riscă să-și piardă relevanța, chiar dacă instrumentele lor rămân sofisticate din punct de vedere tehnic.
