Forcerta olarak müşterilerimizin Tehdit Modelleme ihtiyaçları için Security Compass firmasının SD Elements ürününü önermekteyiz. SD Elements, güvenlik gereksinimlerini otomatikleştirir ve eğitimle destekler. SD Elements, tehdit modelleme işlevini, detaylı soru setlerinine kullanıcının verdiği yanıtları esas alarak yerine getirir. Yine bir Security Compass ürünü olan Devici, SD Elements’in sağladığı güvenlik gereksinimlerini, diyagram tabanlı tehdit modelleme yetenekleriyle birleştirerek daha kapsamlı bir güvenlik yaklaşımı sunar. Gelecekte bu iki ürünün bir tek ürün altında bütünleştiğini de görebiliriz.

Birçok büyük kurum, tehdit modelleme amacı ile güvenlik değerlendirme tablolarından faydalanmakta. Ancak bu tablo yönteminin bazı dezavantakları bulunur. Örneğin,

• Elektronik tablolar, manuel güncellemeler gerektiren statik belgelerdir ve bu da genellikle güncel olmayan veya eksik bilgilere yol açar.
• Elektronik tablolara veri girişinde veya formül yönetiminde insan hatası doğruluğu tehlikeye atabilir.
• Birden fazla katkıda bulunan kişinin bir tabloyu düzenlemesi sürüm çakışmalarına ve kafa karışıklığına yol açabilir.
• Tablolar genellikle gereksinimleri listeler, ancak geliştiriciler için bağlamsal rehberlik veya eğitim sağlamaz.
• CI/CD hatları, sorun takipçileri veya güvenlik araçları ile entegre olmazlar, bu yüzden kontroller geliştirme iş akışından kopuk olur.

SD Elements çözümü yukarıda bahsedilen dezavantajları adresler ve çeşitli avantajlar sunar:

• Dinamik ve Otomatik: Proje türü, teknoloji yığını ve uyumluluk ihtiyaçlarına göre otomatik olarak güvenlik gereksinimleri oluşturur.
• Sürekli Güncellemeler: Security Compass, SD Elements’i en güncel standartlarla (OWASP, PCI DSS, GDPR vb.) tutar ve ekiplerin her zaman güncel rehberlikle çalışmasını sağlar.
• Entegre İş Akışı: Jira, GitHub, Azure DevOps ve CI/CD pipelines ile doğrudan bağlanır, güvenliği geliştirme yaşam döngüsüne entegre eder.
• Geliştirici Etkinleştirme: Tam zamanında eğitim ve bağlamsal rehberlik sağlar, böylece geliştiriciler çalışırken güvenli kodlama uygulamalarını öğrenirler.
• Tehdit Modelleme Desteği: Tabloların çoğaltamadığı diyagram tabanlı tehdit modelleme sunar.
• İşbirliği Dostu: Dağıtılmış ekipler arasında gerçek zamanlı iş birliği, sürüm sorunlarından kaçınıyor.
• Denetim ve Raporlama: Denetimler sırasında manuel çabayı azaltarak uyumluğa hazır raporları otomatik olarak üretir.
• Ölçeklenebilirlik: Binlerce gereksinimi olan büyük ve karmaşık projeleri tablolardan çok daha verimli yönetiyor.

SD Elements, Tehdit Modelini oluşturmak amacı ile detaylı Proje Anketlerinden, Entegrasyonlardan, API’lerden ve kullnıcı etkileşiminden faydalanır.

Soru Setleri ile yeni bir proje oluşturulduğunda ekipten teknoloji yığını, uygulama türü, regülasyon kapsamı gibi bilgileri toplanır. Bu sorulara verilen yanıtlar, otomatik güvenlik gereksinimlerinin temelini oluşturur. Örneğin: “Uygulama kredi kartı verisi işliyor mu?” → Yanıt “Evet” ise PCI DSS gereksinimleri eklenir.

Entegrasyonlar yolu ile, Jira, Azure DevOps, GitHub Issues gibi sistemlerden alınan güvenlik karşı önlemleri doğrudan geliştirici görevlerine aktarılır. DevOps Pipeline CI/CD süreçlerine güvenlik kapıları eklenir, build sırasında veri toplanır. Yazılım Güvenlik tarayıcılarının (SAST/DAST) bulduğu açıkları alır ve gereksinimlerle eşleştirir. LDAP / PPM Sistemleri ile kullanıcı ve proje bilgilerini senkronize eder, proje anketlerini otomatik doldurur. Ve son olarak, RESTful API ile harici sistemlerden veri çekmek veya özel raporlama için kullanılır.

Doğrudan Kullanıcı Etkileşimi ile geliştiricilere Just-in-Time eğitim sunarken, hangi konularda eğitim alındığını ve hangi karşı önlemlerin uygulandığını da kaydeder.

Soru setlerinden ve entegrasyonlardan gelen bilgilerle sürekli güncellenen bir Güvenlik Kütüphanesi vardır. Bu kütüphane, soru setlerinden ve entegrasyonlardan gelen verilerle eşleştirilerek proje bazlı gereksinimler üretilir. OWASP Top Ten, STRIDE, LINDDUN, PCI DSS, GDPR gibi standartlardan gelen güncel güvenlik gereksinimleri sisteme entegre edilir.

Tehdit Modellemede Diyagram Kullanımı

Security Compass, diagram tabanlı tehdit modelleme yaklaşımını Devici ürününde uygulamaktadır. SD Elements ve Devici birbirini tamamlayan ürünlerdir. SD Elements, yazılım geliştirme ekiplerine güvenli kodlama için gereksinimler ve rehberlik sağlar. Yani güvenliği tasarım aşamasında gömerek riskleri kod yazılmadan önce azaltır. SD Elements’in sağladığı güvenlik gereksinimlerini, Devici’nin diyagram tabanlı tehdit modelleme yetenekleriyle birleştirerek daha kapsamlı bir güvenlik yaklaşımı sunar.

Devici’nin başlıca özellikleri:

• AI-Infused Threat Modeling: Yapay zekâ desteğiyle tasarım öğelerine birkaç kelime girerek potansiyel güvenlik ve gizlilik tehditlerini hızlıca tespit etmeye yardımcı olur.
• Devici Codex: STRIDE, OWASP Top Ten (klasik, LLM ve API sürümleri), LINDDUN, CWE gibi popüler tehdit modelleme çerçevelerini ve metodolojilerini bir araya getiren dahili bir kütüphane.
• Code Genius: Kodunuzu analiz ederek otomatik tehdit modeli taslakları oluşturur. Kod sisteminizde kalır, gizlilik korunur.
• Gerçek Zamanlı İşbirliği: Dağıtık ekiplerin aynı anda katkı yapabilmesini sağlar, herkesin sürece eşit şekilde katılımını destekler.
• Devici Canvas: Modern bir diyagram aracı. Veri akış diyagramları oluşturabilir, öğelere tehdit ve önlem atayabilir, modelin sağlık ve kapsamını tek ekrandan görebilirsiniz.

Konu çok fazla detay içeriyor. Burada bir özet sunmaya çalıştık. Tehdit Modelleme konusunda daha detaylı bilgi için aşağıdaki formu doldurarak Forcerta ile iletişime geçebilirsiniz.