Blogg | Norce

Varför Secure by Design är avgörande i dagens digitala landskap – Del 2

Skriven av Benny Olsson | Sep 19, 2024 8:12:46 AM

Detta är en del i en serie inlägg där vi dyker in i komplexiteten och utmaningarna som moderna SaaS-plattformar står inför. Vi kommer även att titta på hur vi kan utnyttja modern molnarkitektur för att hålla vår programvara säker, trygg och tillgänglig.

I det här blogginlägget kommer Benny Olsson, CTO på Norce, att prata om hur Norce implementerar ”Secure by Design” som en del av sin Secure Software Development Lifecycle, och belyser fördelarna med ett proaktivt säkerhetsarbete och varför det är avgörande i dagens digitala landskap.

Proaktiv cybersäkerhet: Hur Norce säkerställer robust säkerhet på alla nivåer

I dagens föränderliga digitala landskap blir cyberhoten alltmer sofistikerade och ihärdiga, vilket gör det nödvändigt för företag att anta en mer proaktiv säkerhetsstrategi. Vi på Norce förstår att säkerhet inte är något man implementerar en gång och sedan glömmer bort. Det måste vara djupt integrerat i alla aspekter av vår verksamhet, från programvaruutveckling till de driftmiljöer vi hanterar för vår multitenant SaaS-plattform för digital handel.

I detta inlägg går vi igenom hur Norce närmar sig cybersäkerhet med ett proaktivt tankesätt, både i vår infrastruktur och under hela utvecklingscykeln. Genom att integrera säkerhet tidigt och kontinuerligt så säkerställer vi att våra kunders data och system förblir skyddade, samtidigt som vi stärker motståndskraften mot nya hot.

Driftmiljösäkerhet: Att anta ett Zero Trust-tänkande

Vår driftsinfrastruktur är byggd med säkerhet som högsta prioritet. Vi utnyttjar Microsoft Azures robusta molntjänster och antar ett "Zero Trust"-tänkande för att se till att varje komponent i vår miljö – från nätverk till beräkningsresurser och databaser – är isolerad och säker.

Ett Zero Trust-tänkande innebär att vi inte tar något för givet. Varje anslutning, åtgärd och användare verifieras kontinuerligt för att trygga att det inte finns några svagheter som kan utnyttjas. Vi samarbetar nära med Microsofts specialiserade säkerhetsteam för att designa, implementera och verifiera vår infrastruktur och försäkrar att vi följer bästa praxis i varje steg.

Genom att hantera all infrastruktur som kod (IaC) garanterar vi inte bara transparens och spårbarhet för alla förändringar, utan ger oss också möjligheten att snabbt återhämta oss vid en eventuell katastrof. Den automatiserade karaktären av IaC tillåter oss att kontinuerligt skanna konfigurationer för att identifiera sårbarheter innan de blir kritiska problem. Detta proaktiva tillvägagångssätt stärker vår förmåga att upptäcka och mildra risker tidigt, vilket är avgörande i dagens snabbt föränderliga cyberhotlandskap.


Secure Software Development Lifecycle (S-SDLC): Inbäddad säkerhet från start

På Norce integrerar vi säkerhet i varje fas av vår utvecklingscykel (S-SDLC) och antar ett "shift-left"-tillvägagångssätt. Säkerhetsaspekterna hanteras tidigt i designfasen genom hotmodellering och analys. Genom att involvera utvecklingsteamet redan från början undviker vi potentiella överraskningar senare och är bättre rustade för att förstå och mildra risker tidigt.

En viktig del av vår S-SDLC är vår noggranna riskbedömningsprocess. Varje pull request (PR) till huvudgrenen genomgår en säkerhets- och stabilitetsriskbedömning. Detta ser till att både utvecklingsteamet och produktexperterna kan fokusera sina tester på de mest kritiska områdena innan någon kod når produktion.

När koden är redo för driftsättning utför vi statisk kodanalys och skanning av tredjepartsbibliotek för att visualisera kända sårbarheter inom vårt system. Dessutom genomför vi egna penetrationstester på alla offentliga API med hjälp av verktyg som Burp Suite, vägledda av OWASP topp 10-lista över hot. Detta flerskiktade tillvägagångssätt för säkerhetstester hjälper oss att ligga steget före potentiella sårbarheter och säkerställa att vår plattform är så säker som möjligt.

Att överbrygga klyftan mellan drift och utveckling: Enad säkerhetsövervakning

Säkerhetsarbetet stannar inte när koden är driftsatt. Vi fortsätter att övervaka våra system med en egeninstallerad instans av Grafana. Detta ger realtidsövervakning över hela vår infrastruktur, vårt nätverk och våra applikationer. Vid en incident kan vi snabbt korrelera händelser över hela plattformen, vilket gör incidenthanteringen effektivare och mer riktad.

Våra utvecklings- och driftteam har ett tätt samarbete för att planera inför katastrofåterhämtning. Tillsammans skapar de handlingsplaner för olika katastrofscenarier, vilket säkerställer att om det värsta skulle inträffa – vare sig det handlar om ett säkerhetsbrott eller ett infrastrukturproblem – är vi beredda att svara snabbt och effektivt. Varje incident följs upp med en formell händelseutredning, ledd av en Incident Manager. Den grundliga granskningsprocessen resulterar i detaljerade rapporter som delas med drabbade kunder, och de lärdomar vi drar leder ofta till förbättringar av infrastruktur, programvara eller processer.

Varför ett proaktivt säkerhetsarbete är viktigt

I en värld där cyberhoten ökar både i frekvens och komplexitet är ett proaktivt tillvägagångssätt för cybersäkerhet avgörande. Genom att integrera säkerhet i varje fas av programvaruutvecklingen och bibehålla rigorösa protokoll för driftmiljöer strävar vi på Norce efter att ligga steget före potentiella sårbarheter.

Detta proaktiva tillvägagångssätt förbättrar inte bara säkerheten för vår plattform utan bygger också förtroende hos våra kunder. I dagens cyberhotlandskap är ett reaktivt tillvägagångssätt inte längre tillräckligt. Nyckeln är att förutse risker och bygga system som är säkra redan från början, vilket minskar risken för intrång och garanterar ett snabbt svar om incidenter inträffar.

Hur tar ditt företag ett proaktivt grepp om säkerhet? Vilka utmaningar har ni stött på, och hur har ni övervunnit dem? Vi tror att cybersäkerhet är ett gemensamt ansvar och att vi tillsammans kan bygga en säkrare digital framtid. Dela detta blogginlägg om du fann det värdefullt, och låt oss fortsätta diskussionen!