اسأل أي مهندس برمجيات كم عدد التطبيقات تعمل في بيئتهم ، وسوف تحصل على رقم كرة القدم. اسأل مرة أخرى بعد خمس دقائق ، ويمكن أن يضاعف ذلك. من الصعب أن نصدق، ولكن بين إعادة توزيع قنوات CI / CD، ومعدلات عمل زومبي، والتطبيقات القديمة في مجالات غير مسبوقة من البنية التحتية، والموردين الكثير من الهوية (IdPs) للتأكد من ذلك، فمن السهل أن تفقد النتائج. عندما لا تعرف ما يجري، لا يمكنك إدارةه، ولا تحميله. التطبيقات المفقودة دون MFA، التطبيقات التي لا تزال تعتمد على تصحيح الوثيقة القديمة، أو تكلفة العمل التي يتم إعادة توزيعها من خلال سجل مسبق، هي قنبلة سهلة للأشخاص الخبيثين. لديه التوافق لديه التوافق مع كل شيء آخر يصبح مستمر - من التكامل إلى التنفيذ - يجب أن يكون العثور كذلك. مسألة التفرقة في المؤسسة التقليدية اليوم، يتم توزيع التطبيقات على AWS، Azure، GCP، وربما على سحابة خاصة أو اثنين. باستخدام منصة Google Cloud Platform (GCP) على سبيل المثال، يمكن تطوير التطبيق بطرق متعددة. لديك خيارات تشمل App Engine، Cloud Run، Compute Engine، Google Kubernetes Engine، و Apigee Gateway. حتى البنية التحتية مثل الكود (IaC) ، مثل Terraform ، لا تكتشف دائمًا الصورة الكاملة ، خاصة عندما يغادر المتطوعون النماذج للتنفيذ اليدوي أو نسيان تحديث العلامات. وبطبيعة الحال، هناك انتشار مماثل للأنظمة Identity التي تسيطر على الوصول إلى هذه البيئات التطبيقية. قد يكون لدى الشركات مزيج من Okta، Microsoft Entra ID، وAmazon Cognito، فضلاً عن منتجات إدارة الوصول على الموقع Active Directory أو منتجات إدارة الوصول على شبكة الإنترنت القديمة، وصور SiteMinder القديمة، و Active Directory على المستوى المحلي، غالباً ما تكون متوافقة. الهوية المفرطة قد تتمكن التطبيقات من تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم تقييم ت أو الكاتب. إدخال ID إدخال ID النتيجة هي مجموعة واسعة من الوثائق والسياسات واللوائح الوصولية التي تجعل من الممكن تقريبًا التحقق بشكل مستمر. حتى معرفة ما إذا كان MFA يتم تشغيله لبرنامج معين يصبح مشروع بحث. هذا المستوى من لا تحتاج المهاجمين إلى التهديد على عجائب الملكة الخاصة بك، بل تحتاج فقط إلى العثور على هذه البوابة غير المحمية.إذا تم تطوير التطبيقات دون رؤية و التحكم المناسبة، فإنك تترك البوابة مفتوحة. توزيع الهوية توزيع الهوية لماذا التقييمات التقليدية لا تقطعها يتضمن مثالًا نموذج التحقيقات إدخال مجموعة كبيرة من الاستشارات، وإجراء التحقيقات، وتشغيل تقرير، وإدخالها يومًا. قد يتم إعادة توزيع تطبيقات CI/CD التي تم إلغاؤها. قد يلجأ فريق التطوير إلى شيء جديد دون إشعار أمن. أو أسوأ من ذلك، قد يسمح التطبيق المفقود مع سياسة SiteMinder المفتوحة بأي حال من الأحوال لأي شخص لديه رسالة بريد إلكتروني @company.com. ما هو أكثر إشكالًا هو أن هذه التحقيقات تقع على نطاق واسع من الناحية الأصلية.إنها تسجل صورة ناجحة في الوقت المناسب لمجموعة من النظامين المتغيرين باستمرار.إن أي اكتشاف ملموس يتم إرساله إلى الأشخاص الذين يشاركون في عملية التحقيقات، وغالباً ما يتم تخزينها في وثائق محددة لا يمكن لأي شخص إعادة النظر فيها حتى الدورة التالية. لا توجد استمرارية، ولا تلقائياً، ولا ضماناً أن البيانات لا تزال صحيحة أكثر من اليوم الذي تم جمعه. الدولار والقلق الأمني لا ننسى تكلفة هذه التقييمات في كثير من الأحيان تتطلب أسابيع من الجهد و مئات الآلاف من الدولارات.إن النتيجة هي عرض مثير للجدل، مع الخرائط والأعمدة التي تبدو رائعة في غرفة إدارة. ولكن ما هي القيمة التي يقدمها لهم للمهندسين الذين يحاولون تقييم ما هو IdP يسيطر على الوصول إلى تطبيق محمول يعمل على مجموعة GCP المفقودة؟ في الوقت ذاته، لا تتوقع المهاجمين دورة التحقق التالية الخاصة بك.إنهم يتم تشخيص سطح الهجوم الخاص بك، والبحث عن نقاط انتهاء التي لم يتم اكتشافها في ورشة العمل الخاصة بك.هذا هو السبب في أن التغيير إلى اكتشاف مستمر هو ضرورة اليوم. كيف تبدو العثور المستمر؟ العديد من مجموعات أمنية تتحمل أعباء متقطعة مع رؤية التطبيقات. يجدون تطبيقًا أسود واحد فقط ليجدوا ثلاثة آخرين يختبئون في الأزمات. المشكلة ليست بسبب التعب أو عدم وجود أدوات، بل هو أن البيئات تتغير باستمرار. بين مجموعات التكنولوجيا التي تنتقل إلى خدمات جديدة، وتشغيل خطوط CI / CD القديمة، وتطور البنية التحتية في أسبوع، فمن المستحيل الحفاظ على سجل ثابت. هذا هو السبب في تراجع الوعي المستمر. إنه يتحول إلى رؤية من شيء تقوم به مرة واحدة في الربع إلى شيء تم إنشاءه في الخياطة من العمليات الخاصة بك. **السحابة المستخدمة في الهواتف الذكية:**السحابة المستخدمة في الهواتف الذكية عبر منصات الهواتف الذكية (GCP، Azure، AWS) لتحديد التطبيقات عبر الخدمات: App Engine، ECS، Lambda، Cloud Run، وما إلى ذلك. خريطة كل تطبيق إلى IdP، والرقابة على MFA، وتصنيف تصنيف الكاتالونات (SAML، OIDC، LDAP، على أساس القائمة، وما إلى ذلك). Identity correlation : تكتشف التطبيقات التي تظهر مرة أخرى بعد إلغاء التشغيل لأنه لم يتم الحصول على الملاحظة. CI/CD monitoring : تطبق الملفات لتنظيم حسب نطاق الامتثال (على سبيل المثال، تطبيقات PCI)، قسم، أو حساسية البيانات. Tagging and classification توفر العثور المستمر الشبكة بين البنية التحتية الخاصة بك وتصميم الهوية الخاصة بك. إنها تضع الطريق أمام إدارة الوضع الأمني في الوقت الحقيقي، والتوافق الإبداعي، والإجابة على الحوادث الفعالة، دون ذلك، قد لا تأتي التهابات المرتبطة بالطريقة التفاعلية التالية من الاستفادة المتطورة، ولكن بدلاً من ذلك، ما لم يعرفه فريقك كان يعمل. بدلاً من التدريبات النووية المتكررة ، فإن العثور المستمر يتعامل مع رؤية التطبيقات كعملية حقيقية. حالة الاستخدام في العالم الحقيقي: التقديرات المتعلقة بـ 2500 مقابل 4500 التطبيقات في واحدة من شركات Fortune 500 ، سألت شركة CTO المحددة حديثاً سؤالًا بسيطًا: "ما عدد التطبيقات في بيئتك؟". "2500" قالها بثقة، ثم استيقظ. "تأمل، لقد حصلنا على شركة أخرى على نفس الحجم. لم يكن هذا الإجابة من نظام تسجيل. كان ذلك إعجابًا، بناءً على عدد العلامات التجارية وتقديرًا عميقًا على التوازن. لم يكن هناك سجل التطبيقات للاستشارة، ولم يكن هناك أداة لتأكيد الكمية - فقط معالجات الخلفية. و هذا لم يكن خبيرًا في مجال تكنولوجيا المعلومات. هذه السيناريوهات تشير لأنها تشير إلى عدم وجود محفظة التطبيقات الموثوقة التي يتم تحديثها باستمرار. إذا لم يتمكن فريق القيادة من قياس عدد التطبيقات في اللعبة، كيف يمكنهم التأكد من أن هذه التطبيقات آمنة ومستدامة ومحكمة بشكل صحيح؟ لماذا يجب على المهندسين والمنظمات IAM أن تتعامل معها؟ إن التطبيقات التي لا تتبعها هي عواطف منخفضة بالنسبة للمهاجمين.إذا قمت بإدارة IAM، وستستستخدم التطبيق أيضًا الاعتماد الأساسي دون MFA، فهذا يعتمد علىك، سواء كنت تعلمت عن التطبيق أم لا.وإذا كنت مسؤولًا عن الحفاظ على الامتثال، لن تمنحك هذه المجلدات القديمة ستة أشهر لحمايةك عندما يطلب محرر معلومات الوصول وال الاعتماد الحالية. 
 
 
 
 أنت تعرف ما هو هناك تعرف من لديه الوصول تعرف ما إذا كان آمنًا و يمكنك أن تثبت ذلك. الطريقة التي تتبع العالم من التغيير يلعب الاختبار دورًا هامًا في إظهار المخاطر المفروضة – تلك المخاطر. أجزاء مظلمة من موقع الضوء الخاص بك حيث تستخدم التطبيقات القديمة، أو الخدمات التي يتم تشكيلها بشكل خاطئ، أو تطبيقات غير موثوقة في الوقت الحالي. يمكن أن تصبح الأنظمة المفقودة مركبات الهجوم، أو مصادر التوافق، أو مصادر تكلفة غير متوقعة.اكتشاف مستمر يغلق الطريق، مما يتيح لمجموعة الأمن والهوية خريطة في الوقت الحقيقي لموقع التطبيقات الخاصة بهم - ما هو يعمل، وكيف يتم حمايته، وكيف يحصل على الوصول - حتى يتمكنوا من اتخاذ إجراءات حاسمة قبل تزايد المشاكل. (كما ذكرت، جري غبيل هو علاقة مهنية مع شركة تعمل في مجال إدارة الهوية والسلامة.

This writer has a vested interest be it monetary, business, or otherwise, with 1 or more of the products or companies mentioned within.

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

This story contains new, firsthand information uncovered by the writer.

Sign up for Orchestration Kitchen workshops

تم إنتاج هذا الصوت باللغة الأصلية للقصة!

Cloud Sprawl حقيقي.الجدول الزمني هو أفضل الدفاع الخاص بك

About Author

تعليقات

شنق العلامات

تم تقديم هذه المقالة في

Related Stories

The shortage of women in tech

Top 10 Android App Development Companies in India & US

Aria Coin Achieves 3000% Growth, Pioneering a Galactic-Themed Crypto Ecosystem

Noonies Nominee and Lead Product Designer Avrora Shuhalii on Writing, Tech, and More

The shortage of women in tech

Top 10 Android App Development Companies in India & US

Aria Coin Achieves 3000% Growth, Pioneering a Galactic-Themed Crypto Ecosystem

Noonies Nominee and Lead Product Designer Avrora Shuhalii on Writing, Tech, and More

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps