I den indledende keynote af 2022 Sort hat sikkerhedskonference, Chris Krebs, den tidligere Department of Homeland Securities cybersikkerhedsdirektør, udtalte, at sikkerheden vil blive værre, før den bliver bedre. Hvorfor? Krebs sagde, at "software forbliver sårbar, fordi fordelene ved usikre produkter langt opvejer ulemperne." I stedet for at sikre sikkerhed, slår fokus på tværs af softwareudviklingens livscyklus (SDLC) konkurrencen på markedet. Faktisk ses innovation ofte i modstrid med sikkerhed - førstnævnte menes at være hurtige og produktive, og sidstnævnte en vejspærring, der kvæler hurtig applikationsudvikling. Denne opfattelse viser sig at være forældet i det nuværende trusselslandskab.
Med stigende cyberangreb er softwareforsyningskæden et populært mål for cyberkriminelle, som genkender den enorme forstyrrelse, de forårsager, når de inficerer usikker kode. For eksempel den nu berygtede Log4Shell sårbarhed udgjorde en sådan risiko, fordi open source Log4j er så almindeligt brugt på tværs af softwareapplikationer og onlinetjenester verden over, og at udnytte sårbarheden kræver meget lidt ekspertise. For nylig har 25,000 ondsindede plug-ins fundet på tværs af WordPress-websteder fremhæver den cybersikkerhedsrisiko, som mange virksomheder står over for, på trods af at de troede, at de brugte sikre applikationer og programmer på deres websteder.
Innovation og sikkerhed skal derfor ses gennem en enkelt linse; det ene er ikke muligt uden det andet. Endnu vigtigere er det, at sikkerheden ikke længere kan være et enkelt holds ansvar. Det skal være en prioritet for alle på tværs af SDLC.
AppSec-dilemmaet
På trods af øgede investeringer i applikationsudvikling tillægges sikkerheden ikke samme betydning. I sådan et konkurrencepræget område har first movere en tendens til at få belønningen. De, der kommer ind på markedet med deres "første levedygtige produkt", ser sandsynligvis på, hvordan dette produkt kan betjene kunder, ikke hvordan det kan bruges sikkert. Med disse høje forventninger er kodekravene til udviklere steget 100 gange i løbet af de sidste 10 år, hvor 92 % har følt sig presset til at skrive kode hurtigere. Sæt dette sammen med det faktum, at 53 % har ingen professionel sikker kodningsuddannelse, mens antallet af nye sårbarheder inden for NIST National Vulnerability Database er steget med over 200 % i de sidste mange år, og det ser ud til, at vi er i noget af et applikationssikkerhedsdilemma.
Det er dog ikke et uløseligt dilemma. Løsningen kræver en fuldstændig omstilling på den måde, at mange ser på kodning og innovation, med et specifikt fokus på folks mindset. Det sætter sikkerhed først og anerkender, at det er OK at være langsommere på markedet, hvis slutproduktet er mere sikkert. Ifølge Bøhms lov, "omkostningerne ved at finde og rette en defekt vokser eksponentielt med tiden" - et koncept, der kan gavne bundlinjen af organisationer, der prioriterer sikkerhed fra starten.
Det er afgørende at etablere denne tankegang med sikkerhed først – ikke kun for udviklingsteamet, men for alle, der spiller en rolle inden for SDLC. Produkt- og projektledere, DevOps, designere af brugeroplevelse (UX) og kvalitetssikringsprofessionelle (QA) vil alle påvirke slutresultatet og er derfor nødt til at erkende det aktuelle dilemma for applikationssikkerhed, og hvordan denne udfordring kan overvindes.
At få integreret uddannelse rigtigt
Hvis hold ikke forstår hvorfor en sikkerheds-først-tankegang er så vigtig inden for applikationsudvikling, at de aldrig kommer til at købe ind hvordan det kan opnås. Integreret og kontinuerlig applikationssikkerhedsuddannelse for hele udviklingsorganisationen har derfor aldrig været vigtigere. For dem, der skaber koden, er det vigtigt at levere grundlæggende læring før praktiske øvelser, der taler direkte til de problemer, de står over for på daglig basis. Denne udviklerspecifikke uddannelse bør køres parallelt med grundlæggende og avancerede applikationssikkerhedstræningsprogrammer for dem med roller i SDLC, som måske ikke nødvendigvis har brug for praktisk ekspertise. Disse former for initiativer vil give hele teamet mulighed for at tænke anderledes, træffe mere informerede beslutninger og integrere sikkerhed på tværs af alle aspekter af udvikling.
Alligevel er det vigtigt, at organisationer forstår, at applikationssikkerhed konstant udvikler sig og ændrer sig. Opbygning af et sikkerhedsorienteret team, der anvender vigtige AppSec-principper på hvert trin af udviklingscyklussen, kan ikke opnås med et "en og færdig"-træningsprogram. For at sikre, at teams opretholder denne sikkerhedsorienterede tankegang, er et fortsat og udviklende uddannelsesprogram nøglen.
Mange organisationer engagerer teams ved at anerkende og fejre sikkerhedsmestre, som fører et skift i sikkerhedsadfærd på tværs af teamet. Ved at tilbyde incitamenter eller belønninger til dem, der konsekvent anvender bedste sikkerhedspraksis i deres daglige arbejde, tilskynder de forkæmpere til at engagere andre og organisk påvirke forandringer. For eksempel ved at måle resultater - som antallet af sårbarheder i en kode før og efter træningsprogrammer - og anerkende succes, er det også langt nemmere at få buy-in fra bestyrelsen og retfærdiggøre investeringer i sikker kodningsuddannelse over for beslutningstagerne .
Det er muligt at innovere hurtigt og slå konkurrencen på markedet og samtidig sætte sikkerheden først, når folk i SDLC gør sikkerhed til en topprioritet. Faktisk, efterhånden som antallet af sårbarheder vokser, og cyberangreb ikke viser tegn på at blive langsommere, er sikker kodning et must, for at enhver applikation kan lykkes. Så længe hele SDLC betragtes i kontinuerlige, skræddersyede og målbare uddannelsesinitiativer, gør sikkerhed ikke have at blive værre, før det bliver bedre.
