In der Eröffnungskeynote des 2022 Black-Hat- Sicherheitskonferenz, Chris Krebs, der frühere Cybersicherheitsdirektor des US-Heimatschutzministeriums, erklärte, dass sich die Sicherheit verschlechtern werde, bevor sie sich verbessere. Wieso den? Krebs sagte, dass „Software anfällig bleibt, weil die Vorteile unsicherer Produkte die Nachteile bei weitem überwiegen“. Anstatt die Sicherheit zu gewährleisten, liegt der Fokus im gesamten Softwareentwicklungslebenszyklus (SDLC) darauf, die Konkurrenz auf den Markt zu bringen. Tatsächlich wird Innovation oft im Widerspruch zur Sicherheit gesehen – erstere gelten als schnelllebig und produktiv, letztere als Hindernis, das eine schnelle Anwendungsentwicklung behindert. Diese Ansicht erweist sich in der aktuellen Bedrohungslandschaft als überholt.
Angesichts zunehmender Cyberangriffe ist die Software-Lieferkette ein beliebtes Ziel für Cyberkriminelle, die die enormen Störungen erkennen, die sie verursachen, wenn sie unsicheren Code infizieren. Zum Beispiel die mittlerweile berüchtigte Log4Shell Die Schwachstelle stellte ein solches Risiko dar, weil die Open Source Log4j weltweit so häufig für Softwareanwendungen und Online-Dienste verwendet wird und die Ausnutzung der Schwachstelle nur sehr wenig Fachwissen erfordert. In jüngerer Zeit die 25,000 bösartige Plug-ins Die auf WordPress-Websites gefundenen Sicherheitsrisiken unterstreichen das Cybersicherheitsrisiko, dem viele Unternehmen ausgesetzt sind, obwohl sie glauben, dass sie sichere Anwendungen und Programme auf ihren Websites verwenden.
Innovation und Sicherheit müssen daher aus einer Perspektive betrachtet werden; das eine ist ohne das andere nicht möglich. Noch wichtiger ist, dass die Sicherheit nicht länger in der Verantwortung eines isolierten Teams liegen kann. Es muss eine Priorität für alle im gesamten SDLC sein.
Das AppSec-Dilemma
Trotz erhöhter Investitionen in die Anwendungsentwicklung wird der Sicherheit nicht die gleiche Bedeutung beigemessen. In einem so wettbewerbsintensiven Umfeld erhalten First Mover in der Regel die Belohnung. Diejenigen, die mit ihrem „ersten brauchbaren Produkt“ auf den Markt kommen, schauen wahrscheinlich, wie dieses Produkt den Kunden dienen kann, und nicht, wie es sicher verwendet werden kann. Mit diesen hohen Erwartungen sind die Code-Anforderungen an Entwickler gestiegen 100 mal in den letzten 10 Jahren, wobei sich 92 % unter Druck gesetzt fühlten, Code schneller zu schreiben. Kombinieren Sie dies mit der Tatsache, dass 53% haben keine professionelle sichere Codierungsausbildung, während die Anzahl der neuen Schwachstellen innerhalb der NIST Die National Vulnerability Database ist in den letzten Jahren um über 200 % gewachsen, und es scheint, dass wir uns in einer Art Anwendungssicherheitsdilemma befinden.
Es ist jedoch kein unlösbares Dilemma. Die Lösung erfordert eine vollständige Umstellung der Art und Weise, wie viele Programmieren und Innovation sehen, mit einem besonderen Fokus auf die Denkweise der Menschen. Es stellt Sicherheit an erste Stelle und erkennt an, dass es in Ordnung ist, langsamer auf den Markt zu kommen, wenn das Endprodukt sicherer ist. Entsprechend Böhms Gesetz, „steigen die Kosten für das Auffinden und Beheben eines Fehlers exponentiell mit der Zeit“ – ein Konzept, von dem Organisationen profitieren können, die Sicherheit von Anfang an priorisieren.
Die Etablierung dieser sicherheitsorientierten Denkweise ist von entscheidender Bedeutung – nicht nur für das Entwicklungsteam, sondern für alle, die innerhalb des SDLC eine Rolle spielen. Produkt- und Projektmanager, DevOps, User Experience (UX)-Designer und Qualitätssicherungsexperten (QA) werden alle das Endergebnis beeinflussen und müssen daher das aktuelle Dilemma für Anwendungssicherheit erkennen und wissen, wie diese Herausforderung überwunden werden kann.
Integrierte Bildung richtig machen
Wenn Teams nicht verstehen warum Eine sicherheitsorientierte Denkweise ist bei der Anwendungsentwicklung so wichtig, dass sie sich niemals darauf einlassen werden wie es kann erreicht werden. Eine integrierte und kontinuierliche Schulung zur Anwendungssicherheit für die gesamte Entwicklungsorganisation war daher noch nie so wichtig. Für diejenigen, die den Code erstellen, ist es wichtig, grundlegendes Lernen vor praktischen Übungen zu vermitteln, die sich direkt mit den Problemen befassen, mit denen sie täglich konfrontiert sind. Diese entwicklerspezifische Schulung sollte parallel zu grundlegenden und fortgeschrittenen Schulungsprogrammen zur Anwendungssicherheit für diejenigen mit Rollen im SDLC durchgeführt werden, die nicht unbedingt praktisches Fachwissen benötigen. Diese Art von Initiativen wird das gesamte Team in die Lage versetzen, anders zu denken, fundiertere Entscheidungen zu treffen und Sicherheit in alle Aspekte der Entwicklung zu integrieren.
Dennoch ist es wichtig, dass Unternehmen verstehen, dass sich die Anwendungssicherheit ständig weiterentwickelt und verändert. Der Aufbau eines sicherheitsbewussten Teams, das die wichtigsten AppSec-Prinzipien in jedem Schritt des Entwicklungszyklus anwendet, lässt sich nicht mit einem einmaligen Schulungsprogramm bewerkstelligen. Um sicherzustellen, dass Teams diese sicherheitsorientierte Denkweise beibehalten, ist ein kontinuierliches und sich weiterentwickelndes Schulungsprogramm von entscheidender Bedeutung.
Viele Organisationen binden Teams ein, indem sie Sicherheitschampions anerkennen und feiern, die eine Änderung des Sicherheitsverhaltens im gesamten Team anführen. Indem sie Anreize oder Belohnungen für diejenigen anbieten, die konsequent bewährte Sicherheitsverfahren in ihrer täglichen Arbeit anwenden, ermutigen sie Champions, andere zu engagieren und Veränderungen organisch zu beeinflussen. Durch das Messen von Ergebnissen – wie die Anzahl der Schwachstellen in einem Code vor und nach Schulungsprogrammen – und das Erkennen von Erfolgen ist es auch viel einfacher, Zustimmung vom Vorstand zu erhalten und Investitionen in sichere Programmierschulungen gegenüber den Entscheidungsträgern zu rechtfertigen .
Schnelle Innovationen und Markteinführungen gegenüber der Konkurrenz, während Sicherheit an erster Stelle steht, ist möglich, wenn die Mitarbeiter von SDLC Sicherheit zur obersten Priorität machen. Da die Zahl der Schwachstellen zunimmt und Cyberangriffe keine Anzeichen einer Verlangsamung zeigen, ist eine sichere Codierung ein Muss für jede Anwendung, um erfolgreich zu sein. Solange der gesamte SDLC in kontinuierlichen, maßgeschneiderten und messbaren Bildungsinitiativen berücksichtigt wird, gilt dies nicht für die Sicherheit haben sich verschlechtern, bevor es besser wird.
