SaaS CTO Güvenlik Kontrol Listesi Ver.3

• CTO'nun takip etmesi gereken temel güvenlik gerekliliklerini madde madde açıklıyor

→ bununla ilgili okunabilecek bağlantılar, önerilen araçlar, ipuçları vb.

• Çalışanlar

→ güvenlik eğitimi verin

→ 2FA uygulayın

→ bilgisayarlarda otomatik kilitleme kullanın

→ hesap paylaşımını önleyin

→ kişisel bilgisayar/telefon şifrelemesi - Jamf, Canonical Landscape

→ onboarding / offboarding kontrol listesi

→ parola yöneticisi kullanımı - dashlane, lastpass, onelogin

→ güvenlik odaklı kod inceleme kontrol listesi hazırlayın ve işletin -

→ hesapları merkezi olarak yönetin

→ kötü amaçlı yazılım ve virüs önleme araçları - stormshield

→ güvenlik mühendisi işe alın

• Kod

→ güvenlik açıklarını normal bug'lar gibi yönetin

→ secret'ları koddan ayırın - envkey, vault, secret-manager

→ cryptography işini kendiniz yapmayın, kütüphane kullanın

→ Static Code Analysis Tool uygulayın

→ güvenlik odaklı test oturumları gerçekleştirin

→ güvenlik otomasyonunu tüm yazılım geliştirme yaşam döngüsüne (SDLC) yayın

→ yazılım mühendislerine onboarding sırasında güvenlik eğitimi verin - safecode, pagerdugy sudo

• Uygulama

→ prodüksiyon ürünü için güvenlik otomasyonu - snyk, checkov

→ FaaS güvenliği

→ dependency takibi - snyk, dependabot

→ root dışındaki hesaplarla çalıştırın (unprivileged)

→ gerçek zamanlı koruma hizmeti (Runtime Application Self Protection, RASP)

→ dış pentest ekibi kiralayın

• Altyapı

→ yedek alın, geri yükleme testi yapın, sonra tekrar yedek alın - tarsnap, quay

→ web sitesi temel güvenlik testi - securityheaders, ssllabs

→ asset'leri ağ seviyesinde izole edin

→ OS ve Docker image'larını güncel tutun - watchtower , spacewalkproject

→ container image'ları için otomatik güvenlik taraması - quay, vulerability & image scanning

→ tüm web siteleri ve API'lerde TLS kullanın

→ tüm log'ları merkezileştirin, arşivleyin ve anlamlı hale getirin - loggly, kibana

→ açıkta olan servisleri izleyin - checkup

→ DDOS saldırılarına karşı koruma sağlayın - fastly, cloudflare, cloudfront

→ iç servislere erişimi IP ile engelleyin

→ metriklerde anormal desenleri tespit edin - newrelec , sysdig

• Şirket

→ topladığınız tüm veriler konusunda dürüst ve şeffaf olun

→ güvenlik dostu bir kültür oluşturun - Security Culture Framework

→ ziyaretçilerle WiFi ağını paylaşmayın

→ tüm önemli üçüncü taraf servisler için güvenlik kontrolü yapın - Google Apps/Slack/WordPress vb.

→ alan adı korumasını doğrulayın - otomatik yenileme ve diğer kilit özellikleri

→ yayımlanmış güvenlik politikasını kontrol edin

→ güvenliği öncelemeye yardımcı araçlar kullanın

→ güvenliği ölçeklendirmeye hazırlanın

→ Bug Bounty programı oluşturun - hackerone, cobalt

→ şirket varlıkları için envanter oluşturun

→ iç güvenlik politikaları oluşturun

→ alan adı phishing saldırılarına karşı hazırlıklı olun

• Ürün kullanıcıları

→ parola politikası uygulayın

→ kullanıcı gizliliğini güçlendirin: social engineering'i engelleyin

→ kullanıcılara 2FA kullanmalarını önerin. SSO ve rol tabanlı hesap yönetimi - auth0, okta, WebAuthn

→ kullanıcıların anormal davranışlarını tespit edin - castle