logo
Teknologi

Panduan ITSEC Mengenai DevSecOps

Tips
Hacks

DevSecOps merupakan kepanjangan dari development, security, and operations (pengembangan, keamanan, dan operasi) dan ide utama DevSecOps adalah untuk membuat seluruh anggota tim teknis dan pengembangan Anda bertanggung jawab terhadap cybersecurity sehingga mereka dapat membuat keputusan keamanan di saat yang sama ketika mereka membuat keputusan pengembangan dan operasi, sehingga meningkatkan keamanan secara keseluruhan.

AdministratorAdministrator
|
Jul 10, 2023
Panduan ITSEC Mengenai DevSecOps

Setiap tim teknis yang saat ini menggunakan kerangka kerja DevOps harus mencari cara untuk bergerak ke arah pola pikir DevSecOps dengan cara meningkatkan keahlian security yang dimiliki oleh masing-masing anggota tim yang berasal dari berbagai latar belakang teknologi. Dari membangun layanan cybersecurity yang berfokus pada bisnis hingga pengujian potensi eksploitasi cybersecurity, kerangka kerja DevSecOps memastikan bahwa cybersecurity dibangun dengan cara ditanamkan ke dalam aplikasi dan tidak hanya menjadi sebuah tempelan yang baru ditambahkan belakangan. Dengan memastikan pertimbangan keamanan ada di setiap tahap pengiriman perangkat lunak (software delivery), Anda secara terus-menerus melakukan integrasi keamanan sehingga dapat mengurangi biaya compliance (kepatuhan) dan perangkat lunak dapat dikirimkan dengan cepat dan aman.

DevSecOps Dalam Praktek

Keuntungan DevSecOps sederhana, yaitu bahwa Anda dapat melihat peningkatan otomatisasi di sepanjang jalur pengiriman perangkat lunak. Otomatisasi ini berguna untuk jangka panjang karena dapat menghapuskan kesalahan, mengurangi cyberattack dan mengurangi downtime. Organisasi yang ingin mengintegrasikan keamanan ke dalam kerangka DevOps mereka mendapati bahwa proses ini bisa menjadi relatif mulus jika Anda menggunakan alat DevSecOps yang tepat. Alur kerja DevOps dan DevSecOps terlihat seperti ini:

  • Seorang engineer membuat kode di dalam platform version control.
  • Perubahan diterapkan pada platform version control.
  • Engineer lain mengambil kode dari platform version control dan melakukan analisis kode untuk mengidentifikasi jika ada kekurangan dari sisi cybersecurity.
  • Kemudian dibangun sebuah environment dengan menggunakan alat berbentuk infrastructure-as-code (iac), selanjutnya aplikasi digunakan dan konfigurasi keamanan dipasang ke dalam sistem.
  • Sebuah test automation suite kemudian dijalankan terhadap aplikasi yang baru digunakan, yaitu aplikasi back-end, UI, integrasi, tes keamanan dan API.
  • Jika berhasil lolos dari tes ini, maka aplikasi-aplikasi tersebut akan digunakan untuk environment produksi.
  • Environment produksi baru ini dimonitor secara terus-menerus untuk mengidentifikasi segala ancaman atau vulnerability (kerentanan) dalam cybersecurity yang masih aktif di dalam sistem.

Dengan environment yang dikembangkan menggunakan proses TDD (test-driven development) dan telah melalui pengujian otomatis serta memiliki integrasi berkesinambungan sebagai bagian dari alur kerja mereka, maka tim pengembangan dapat bekerja dengan mulus dan cepat dalam rangka mencapai tujuan bersama untuk mendapatkan secure code dan peningkatan compliance.

Apakah Anda Membutuhkan DevSecOps??

Ya, Anda membutuhkannya. Lanskap teknologi telah mengalami perubahan eksponensial sepanjang dekade terakhir. Pergeseran penggunaan platform shared storage dan shared data, aplikasi dinamis, dan cloud computing sangat menguntungkan bagi organisasi yang ingin berkembang dan tumbuh melalui penggunaan aplikasi dan layanan canggih, tetapi semua ini juga ada biaya pelaksanaannya. Aplikasi-aplikasi DevOps memang memiliki keunggulan dalam hal fungsionalitas, skala, dan kecepatan, tetapi seringkali mereka memiliki kekurangan dalam hal keamanan dan kepatuhan Hal inilah yang melatarbelakangi diperkenalkannya DevSecOps kedalam siklus hidup pengembangan perangkat lunak untuk menempatkan pengembangan, operasi, dan keamanan dalam satu atap, dan dengan proses itu dapat meningkatkan cybersecurity dari sebuah perangkat lunak. Para pelaku cybercrime selalu mencari cara untuk mengeksploitasi perangkat lunak, bayangkan jika mereka berhasil memasukkan malware ke dalam perangkat lunak saat proses pembangunan dan malware tersebut tidak ditemukan sampai waktu aplikasi telah diluncurkan kepada ribuan pelanggan! Tingkat kerusakan terhadap reputasi perusahaan dan sistem pelanggan mereka dapat menjadi malapetaka, terutama di dunia dimana berita buruk cepat sekali menjadi viral melalui media sosial. Menjadikan faktor keamanan sama pentingnya dengan faktor pengembangan dan operasi Anda merupakan keharusan bagi tim manapun yang terlibat dalam pengembangan dan distribusi perangkat lunak. Ketika Anda mengintegrasikan DevSecOps dan DevOps, setiap network administrator dan network engineer langsung menempatkan keamanan sebagai pertimbangan pertama dalam proses pengembangan dan deployment perangkat lunak.

Praktik Terbaik DevSecOps

Organisasi yang ingin menyatukan operasi TI, tim keamanan dan pengembang aplikasi perlu mengintegrasikan keamanan ke dalam alur kerja DevOps mereka. Tujuannya adalah untuk menjadikan keamanan sebagai komponen inti dari alur kerja pengembangan perangkat lunak, menggantikan kebiasaan menguatkan keamanan di akhir proses. Berikut ini adalah beberapa praktik terbaik yang membuat proses DevSecOps berjalan dengan lancar:

  • Otomatisasi merupakan hal yang bagus - Meskipun DevOps memiliki fokus pada kecepatan pengiriman, ini tidak berarti bahwa faktor kecepatan harus dikompromikan hanya karena Anda menambahkan faktor keamanan di dalamnya. Dengan mengintegrasikan kontrol keamanan otomatis dan pengujian di awal siklus pengembangan perangkat lunak, Anda dapat memastikan pengiriman perangkat lunak dilakukan dengan cepat.
  • DevSecOps untuk efisiensi - Dengan menambahkan keamanan ke dalam alur kerja Anda dan dengan menggunakan alat yang dapat memindai kode saat Anda membuatnya, Anda dapat menemukan dan memperbaiki masalah keamanan lebih awal.
  • Pemodelan ancaman (threat modeling) – Menjalankan threat modeling dapat membantu Anda menemukan kerentanan dalam aset Anda dan menyumbat celah dalam kontrol keamanan, sehingga membantu Anda mengidentifikasi kejadian berisiko tinggi yang terjadi di dalam codebase Anda.

Sementara masih ada perdebatan tentang apa artinya DevSecOps untuk bisnis, namun sangat mudah untuk melihat artinya di dalam dunia dengan siklus rilis yang cepat dan ancaman keamanan yang terus berkembang, itulah sebabnya kami merekomendasikan DevSecOps untuk organisasi mana pun yang tidak dapat mentolerir terjadinya skandal keamanan, atau jika mereka masih menganggap semua pelanggan mereka sebagai target oleh pelaku cybercrime (hampir semua orang dapat menjadi target).

Share this post

You may also like

Panduan untuk Open Source Intelligence (OSINT)
Teknologi

Panduan untuk Open Source Intelligence (OSINT)

Tips
Hacks

OSINT dapat menjadikan Anda mampu melihat lebih jauh dan hal ini dapat membawa keuntungan besar bagi bisnis Anda, yaitu dengan cara melindungi Anda dari ancaman, memberikan informasi mengenai strategi kompetitor Anda dan membantu Anda untuk memahami mitra dan orang-orang sebelum Anda melakukan investasi pada diri mereka, hal paling utama adalah OSINT merupakan alat investigasi yang penting bagi pengacara, detektif, penegak hukum, dan siapapun yang mempunyai kebutuhan untuk mengumpulkan intelijen dan menginvestigasi sebuah subjek. Artikel ini, bagian pertama dalam seri yang saya tulis mengenai OSINT, akan menjelaskan apa OSINT itu dan bagaimana Anda dapat menggunakan OSINT bagi keuntungan kehidupan profesional Anda, karena kita semua dapat mengambil keuntungan dari memandang lebih jauh dan mengetahui sesuatu daripada hanya mengasumsikan mengenai sesuatu. Pengantar Seiring waktu internet telah mengubah dunia menjadi tempat yang sangat kecil, terbukanya akses internet bagi miliaran orang di seluruh dunia untuk berkomunikasi dan bertukar data digital telah menjadikan seluruh dunia bergeser memasuki ‘era informasi’. Pada era informasi ini, istilah open-source intelligence (OSINT) mengacu pada semua informasi yang tersedia untuk publik yang dapat anda lihat

|
Jul 10, 2023 8 minutes read
Pengantar SOAR
Teknologi

Pengantar SOAR

Terkadang Anda juga akan mendengar para profesional cybersecurity menyebutnya SOAPA (security operations analytics platform architecture), mungkin karena mereka ingin mengajari kita dengan akronim cybersecurity lain, tetapi hal tersebut tidak perlu diperhatikan karena Gartner menyebutnya SOAR. Dalam arti tertentu, SOAR benar-benar dapat membantu CSOC Anda terasa seperti mempunyai sayap. SOAR merupakan suatu platform pelaporan dan operasi keamanan yang menggunakan data machine-readable dari berbagai sumber yang berbeda guna menyediakan kapasitas manajemen, analisis, dan pelaporan dalam mendukung analis cybersecurity. Platform SOAR menerapkan logika pengambilan keputusan, dikombinasikan dengan konteks, untuk memberikan alur kerja yang terstandar dan memungkinkan pemberitahuan triage (prosedur menetapkan tingkat prioritas) tugas remediasi cybersecurity. Platform SOAR menyediakan intelegensi yang dapat ditindaklanjuti sehingga Anda harus tetap mengikuti alur kerja Anda. APA PERBEDAAN ANTARA SOAR VS SIEM? SIEM telah ada selama beberapa waktu dan selama itu telah berkembang mulai dari sebagai suatu alat korelasi peristiwa keamanan (security event) menjadi suatu sistem analisis keamanan. Secara tradisional, SIEM merupakan praktik pengumpulan log keamanan serta security event Anda, guna memberikan visibilitas mengenai apa yang terjadi dalam organisasi Anda melalui perspektif

|
Jul 10, 2023 4 minutes read
Mengapa Anda Perlu Serius Menginventarisasi Aset
Teknologi

Mengapa Anda Perlu Serius Menginventarisasi Aset

Jika Anda bekerja di cybersecurity, pepatah tersebut menjadi tidak berlaku dan suatu saat akan membuat Anda dalam masalah. Tidak ada yang mengharapkan Anda untuk mengetahui segalanya, tetapi mereka mengharapkan Anda mengetahui aset apa yang Anda miliki di jaringan perusahaan yang terhubung ke infrastruktur TI Anda. Hal inilah yang pertama saya cari ketika berbicara dengan sebuah organisasi untuk pertama kalinya. Secara umum, semakin banyak yang dapat diceritakan oleh organisasi tentang inventaris PC, tablet, smartphone, server, dan wireless access points (titik akses nirkabel) mereka, maka semakin baik keamanan cybersecurity mereka. Anda mungkin terkejut setelah mengetahui bahwa sebagian besar organisasi tidak memiliki panduan yang jelas pada inventaris aset mereka. Ketiadaan daftar terbaru mengenai apa yang Anda pertahankan adalah suatu kejutan sendiri, karena diskoveri/penemuan aset merupakan standar dasar dalam keamanan TI. Tanpanya, Anda tidak mungkin mempertahankan infrastruktur TI Anda. Ketika Anda mengetahui bahwa sebagian besar perusahaan yang tidak memiliki daftar aktif tentang aset mereka mengalami atau mendapat pelanggaran (breach), maka hal ini tidak mengejutkan sama sekali. Ketika saya berbincang dengan organisasi tentang cybersecurity, saya mengajukan pertanyaan kepada

|
Jul 09, 2023 5 minutes read

Receive weekly
updates on new posts

Subscribe