🔷قدم‌چهارم:‌ اطمینان از امنیت سیستم‌ها 🔹در وهله اول آموزش افراد برای توسعه‌امن نرم‌افزار، مواجهه با فیشینگ و … برای تمامی افراد به طور رایگان و به عنوان بخشی از ساعات اداری آنها فراهم می‌شود تا پایه امنیتی مناسبی برای آنها فراهم شود. 🔹در قدم بعدی تمامی بخش‌هایی از توسعه که قابل اتومات کردن هستند از امنیت کد(SAST, SCA, DAST, Supply Chain Security, Container Scanning,Fuzzing) تا امن‌سازی زیرساخت‌ها(که در قدم دوم توضیح دادیم به صورت خودکار زیرساخت امن‌شده در اختیار قرار داده می‌شود) انجام می‌شود. 🔹بعد از دیپلوی نیز از Vulnerability Assessment و CVE Alerting تا پن‌تست در اختیار توسعه‌دهندگان قرار می‌گیرد تا از نتایج آن استفاده کنند. 🔹تمامی موارد( از تنظیم بوت‌امن تا مثلا استفاده امن از (istio در اختیار قرار گرفته و انطباق آن با کمک SCA Modules فراهم می‌شود تا توسعه‌دهنده با کمترین هزینه امن‌ترین محصول را تحویل دهد. 🔹برای مقابله با تهدیدات پیشرفته‌تر نیز از NGFو XDR گرفته تا HoneyPotو ابزارهای Cyber Deception بدر اختیار این نیروها برای مقابله با تهدیدات قرار میگیرد. AnotherOne @Partisan2015

🔷قدم‌پنجم: کار از محکم‌کاری عیب نمی‌کند 🔹برای اطمینان از آمادگی نیروها و تمهیدات چیده شده وزارت دفاع با شرکت‌های خصوصی تاییدشده برای انجام red teaming و ‌assumed breach قرار داد می‌بندد و در کنار آن برنامه باگ‌بانتی برگزار می‌کند و به هکرها برای کشف آسیب‌پذیری جایزه می‌دهد. 🔹 سازمان‌هایی مثل NSA همواره در حال کشف و خرید zero day و گاها تست آن روی سازمان‌های داخلی برای اطمینان از امنیت داخلی هستند. 🔹تعاملات دیجیتال افراد داخل سازمان تحت مانیتور قرار می‌گیرند و اسناد سازمان به کمک DLP و یا با استفاده از File Beacon و Hidden Signatures امن شده‌اند تا در صورت لو رفتن منبعی که لو داده مشخص باشد. 🔹به افراد با توجه به دسترسی آنها درجه اهمیت داده می‌شود و زندگی شخصی، وضعیت مالی، اعتیاد و مشکلات خانوادگی افراد تحت بررسی است تا ریسک آنها مشخص شده و از Insider Threat ضربه نخورند. 🔹و تمهیدات بیشتر که بعدا درباره آنها صحبت خواهیم کرد. AnotherOne @Partisan2015