CHIP Online ÖZEL: Microsoft güvenlik takımının yöneticisi Irfan Chaudry ile çok özel bir röportaj...
Okumak için: https://www.chip.com.tr/konu/Guve ... -roportaj_9945.html
Geçtiğimiz günlerde Türkiye'ye gelen Microsoft'un güvenlik profesyonelleri ile çok özel bir öğle yemeğinde buluştuk. Sadece sınırlı sayıda gazetecinin davet edildiği bu etkinlikte takımın en başındakilerle sohbet etme ve günümüzde web sitelerinin güvenliğini ve alınacak tedbirleri enine boyuna tartışma imkanı bulduk. Elbette fırsattan istifade takımın babalarından Microsoft'un "ace" güvenlik takımının yöneticisi Irfan Chaudry ile çok özel bir röportaj gerçekleştirmeyi ve CHIP Online ziyaretçilerinin kafalarındaki en önemli sorulara cevap aramayı da ihmal etmedik! İşte sizler için gerçekleştirdiğimiz bu çok özel röportaj:
Cenk Tarhan: ACE'in açılımı nedir? Bu organizasyonun kuruluşu, amacı ve çalışan sayısı nedir?
Irfan Chaudry: ACE takımı, Microsoft Bilgi Teknolojileri (IT) departmanında Bilgi Güvenliği bölümünün bir parçasıdır. İsmini "Assessment Consulting & Engineering"in (Değerlendirme, Danışmanlık ve Mühendislik) baş harflerinden almıştır.
Başlangıçta Microsoft'un iş dünyası uygulamaları hakkında değerlendirmelerde bulunmak üzere 1999 yılında kurulan ACE, 2001'de bu uygulamaların güvenliği ve gizliliğine dayalı incelemelerden de sorumlu hale getirildi. Şu anda ACE bünyesinde 70'ten fazla kişi, dünya çapında uygulama güvenliği, yapısal güvenlik, performans değerlendirme ve gizlilik hizmetleri üzerinde çalışmaktadır.
Hizmetlerden MSIT, MS.COM ve MSN'in yanında Microsoft'un kurumsal müşterileri de yararlanmaktadır (ACE, harici hizmetler konusunda Microsoft Services ile işbirliği yapmaktadır).
Cenk Tarhan: ACE takımı kurulduktan sonra (tehlikeli açıkların, önlenen saldırıların ve exploit'lerin sayısında) ne gibi değişiklikler oldu?
Irfan Chaudry: Yazılım güvenliği incelemesi işine başlandığından beri, kod geliştirmeyle ilgili, çoğunlukla giriş doğrulamalarının eksikliğinden kaynaklanan problemleri daha kolay görmeye başladık.
Bu problemler genelde iki ana açığın, Cross-Site Script (siteler arası komutlar) ve SQL Injection'ın etrafında toplanmışlardı. Bunun sonucunda geliştiricilere, yazılım geliştirme döngüsünün ilk evrelerinde problemleri görmelerini sağlayacak şekilde ileriye dönük yardım vermeye başladık. Geliştiricilerin Cross-Site Script saldırılarını önlemek için kullanabilecekleri bir referans kütüphane hazırladık.
Bu kütüphane, Anti-XSS kütüphanesinden ve XSS Detect aracından (yazılım kodunu tarayarak Cross-Site Script saldırılarını tanımlamayan ücretsiz bir araç) oluşmakta.
Önlenen saldırı ve exploit'lerin sayısı konusunda ise, işkoluna yönelik yazılım güvenliği incelemesine başlandığından bu yana, işkolu uygulamalarımızda kayda değer bir güvenlik sorunu ortaya çıkmadı. Bu başarıyı, yazılım geliştirme döngüsüne güvenlik işlemlerini de dahil etmiş olmamıza borçluyuz.
Tüm konu: Güvenlik gurusuya çok özel bir röportaj
Kaynak: www.chip.com.tr
Tartışıyoruz: Web sitenizi korumak için hangi önlemleri alıyorsunuz?