في الكلمة الافتتاحية لعام 2022 قبعة سوداء مؤتمر الأمن كريس كريبسصرح المدير السابق للأمن السيبراني بوزارة الداخلية للأوراق المالية ، أن الأمن سوف يزداد سوءًا قبل أن يتحسن. لماذا ا؟ قال كريبس إن "البرمجيات لا تزال معرضة للخطر لأن فوائد المنتجات غير الآمنة تفوق بكثير الجوانب السلبية." بدلاً من ضمان الأمان ، فإن التركيز عبر دورة حياة تطوير البرامج (SDLC) يتفوق على المنافسة في السوق. في الواقع ، غالبًا ما يُنظر إلى الابتكار على أنه يتعارض مع الأمان - يُعتقد أن الأول سريع الخطى ومنتج ، والأخير يمثل حاجزًا يعيق تطوير التطبيقات سريع الحركة. يثبت هذا العرض أنه عفا عليه الزمن في مشهد التهديد الحالي.
مع تزايد الهجمات الإلكترونية ، أصبحت سلسلة توريد البرامج هدفًا شائعًا لمجرمي الإنترنت الذين يدركون الاضطراب الهائل الذي يتسببون فيه عند إصابة كود غير آمن. على سبيل المثال ، سيئ السمعة الآن Log4Shell شكلت الثغرة الأمنية مثل هذا الخطر لأن Log4j مفتوح المصدر شائع الاستخدام عبر تطبيقات البرامج والخدمات عبر الإنترنت في جميع أنحاء العالم ، واستغلال الثغرة الأمنية يتطلب خبرة قليلة جدًا. في الآونة الأخيرة ، 25,000 من المكونات الإضافية الضارة الموجودة عبر مواقع WordPress تسلط الضوء على مخاطر الأمن السيبراني التي تواجهها العديد من الشركات ، على الرغم من اعتقادها بأنها تستخدم تطبيقات وبرامج آمنة داخل مواقعها على الويب.
لذلك يجب النظر إلى الابتكار والأمن من منظور واحد ؛ واحد غير ممكن دون الآخر. والأهم من ذلك ، أن الأمن لم يعد من مسؤولية فريق منعزل واحد. يجب أن يكون أولوية للجميع عبر SDLC.
معضلة AppSec
على الرغم من زيادة الاستثمار في تطوير التطبيقات ، لا يتم تطبيق نفس الأهمية على الأمان. في مثل هذه المساحة التنافسية ، يميل المحركون الأوائل إلى الحصول على المكافأة. أولئك الذين يدخلون السوق مع "أول منتج قابل للتطبيق" ينظرون على الأرجح في كيفية خدمة هذا المنتج للعملاء ، وليس كيف يمكن استخدامه بشكل آمن. مع هذه التوقعات العالية ، ازدادت طلبات التعليمات البرمجية على المطورين 100 مرات على مدى السنوات العشر الماضية ، 10٪ شعروا بالضغط لكتابة التعليمات البرمجية بشكل أسرع. قم بإقران هذا بحقيقة ذلك 53% ليس لديهم تدريب احترافي على الترميز الآمن ، في حين أن عدد الثغرات الأمنية الجديدة داخل نيست زادت قاعدة البيانات الوطنية للثغرات الأمنية بنسبة تزيد عن 200٪ في السنوات العديدة الماضية ، ويبدو أننا في ما يشبه معضلة أمان التطبيقات.
ومع ذلك ، فهي ليست معضلة غير قابلة للحل. يتطلب الحل تبديلًا كاملاً بالطريقة التي ينظر بها الكثيرون إلى الترميز والابتكار ، مع التركيز بشكل خاص على عقلية الناس. إنه يضع الأمان في المقام الأول ويدرك أنه لا بأس من أن تكون أبطأ في التسويق إذا كان المنتج النهائي أكثر أمانًا. وفق قانون بوم، "تكلفة العثور على الخلل وإصلاحه تنمو بشكل كبير بمرور الوقت" - وهو مفهوم يمكن أن يفيد المحصلة النهائية للمؤسسات التي تعطي الأولوية للأمن من البداية.
يعد إنشاء عقلية الأمان أولاً أمرًا بالغ الأهمية - ليس فقط لفريق التطوير ، ولكن لكل من يلعب دورًا داخل SDLC. سيؤثر كل من مديري المنتجات والمشاريع و DevOps ومصممي تجربة المستخدم (UX) ومحترفي ضمان الجودة (QA) على النتيجة النهائية ، وبالتالي يحتاجون إلى التعرف على المعضلة الحالية لأمان التطبيق وكيفية التغلب على هذا التحدي.
الحصول على التعليم المتكامل بشكل صحيح
إذا كانت الفرق لا تفهم لماذا تعتبر عقلية الأمان أولًا أمرًا مهمًا للغاية في تطوير التطبيقات ، ولن يشتركوا فيها أبدًا كيف يمكن تحقيقه. لذلك ، لم يكن التعليم الأمني للتطبيقات المتكاملة والمستمرة لمنظمة التطوير بأكملها أكثر أهمية من أي وقت مضى. بالنسبة لأولئك الذين ينشئون الكود ، من المهم تقديم التعلم الأساسي قبل التدريبات العملية التي تتحدث مباشرة عن المشكلات التي يواجهونها يوميًا. يجب تشغيل هذا التعليم الخاص بالمطور بالتوازي مع برامج التدريب على أمان التطبيقات التأسيسية والمتقدمة لأولئك الذين لديهم أدوار في SDLC والتي قد لا تحتاج بالضرورة إلى خبرة عملية. ستعمل هذه الأنواع من المبادرات على تمكين الفريق بأكمله من التفكير بشكل مختلف ، واتخاذ قرارات أكثر استنارة ، ودمج الأمن في كل جانب من جوانب التنمية.
ومع ذلك ، من المهم أن تدرك المؤسسات أن أمان التطبيقات يتطور ويتغير باستمرار. لا يمكن بناء فريق يهتم بالأمن يطبق مبادئ AppSec الرئيسية في كل خطوة من دورة التطوير ببرنامج تدريبي "واحد وتم إنجازه". لضمان احتفاظ الفرق بعقلية الأمان أولاً ، يعد البرنامج التعليمي المستمر والمتطور أمرًا أساسيًا.
تشرك العديد من المنظمات الفرق من خلال الاعتراف والاحتفاء بأبطال الأمن ، الذين يقودون تحولًا في السلوك الأمني عبر الفريق. من خلال تقديم الحوافز أو المكافآت لأولئك الذين يطبقون باستمرار أفضل الممارسات الأمنية في عملهم اليومي ، فإنهم يشجعون الأبطال على إشراك الآخرين والتأثير بشكل عضوي على التغيير. على سبيل المثال ، من خلال قياس النتائج - مثل عدد نقاط الضعف في الكود قبل وبعد برامج التدريب - والاعتراف بالنجاح ، من الأسهل أيضًا الحصول على دعم من مجلس الإدارة وتبرير الاستثمار في تعليم التشفير الآمن لصانعي القرار .
الابتكار السريع والتغلب على المنافسة في السوق مع وضع الأمان في المقام الأول أمر ممكن عندما يجعل الأشخاص في SDLC الأمان أولوية قصوى. في الواقع ، نظرًا لتزايد عدد الثغرات وعدم ظهور الهجمات الإلكترونية أي علامة على التباطؤ ، فإن الترميز الآمن أمر لا بد منه لنجاح أي تطبيق. طالما يتم اعتبار SDLC بالكامل في مبادرات تعليمية مستمرة ومفصلة وقابلة للقياس ، فإن الأمن لا يفعل ذلك لديك لتزداد سوءًا قبل أن تتحسن.
