Στην εναρκτήρια ομιλία του 2022 Μαύρο καπέλο συνέδριο ασφαλείας, Κρις Κρέμπς, ο πρώην διευθυντής κυβερνοασφάλειας του Department of Homeland Securities, δήλωσε ότι η ασφάλεια θα χειροτερέψει προτού βελτιωθεί. Γιατί; Ο Krebs είπε ότι «το λογισμικό παραμένει ευάλωτο επειδή τα οφέλη των ανασφαλών προϊόντων υπερτερούν κατά πολύ των μειονεκτημάτων». Αντί να διασφαλίζει την ασφάλεια, η εστίαση σε όλο τον κύκλο ζωής ανάπτυξης λογισμικού (SDLC) κερδίζει τον ανταγωνισμό στην αγορά. Στην πραγματικότητα, η καινοτομία θεωρείται συχνά σε αντίθεση με την ασφάλεια - η πρώτη πιστεύεται ότι είναι γρήγορος και παραγωγικός και η δεύτερη αποτελεί εμπόδιο που καταπνίγει τη γρήγορη ανάπτυξη εφαρμογών. Αυτή η άποψη αποδεικνύεται ξεπερασμένη στο σημερινό τοπίο απειλών.
Με τις κυβερνοεπιθέσεις να αυξάνονται, η αλυσίδα εφοδιασμού λογισμικού είναι ένας δημοφιλής στόχος για τους εγκληματίες του κυβερνοχώρου που αναγνωρίζουν την τεράστια αναστάτωση που προκαλούν όταν μολύνουν μη ασφαλή κώδικα. Για παράδειγμα, το διαβόητο πλέον Log4Shell Η ευπάθεια αποτελούσε τέτοιο κίνδυνο επειδή το ανοιχτού κώδικα Log4j χρησιμοποιείται τόσο συχνά σε εφαρμογές λογισμικού και διαδικτυακές υπηρεσίες παγκοσμίως και η εκμετάλλευση της ευπάθειας απαιτεί πολύ λίγη τεχνογνωσία. Πιο πρόσφατα, το 25,000 κακόβουλα πρόσθετα που βρίσκονται σε ιστότοπους WordPress υπογραμμίζουν τον κίνδυνο κυβερνοασφάλειας που αντιμετωπίζουν πολλές επιχειρήσεις, παρά το γεγονός ότι πιστεύουν ότι χρησιμοποιούν ασφαλείς εφαρμογές και προγράμματα στους ιστότοπούς τους.
Ως εκ τούτου, η καινοτομία και η ασφάλεια πρέπει να αντιμετωπιστούν με έναν μόνο φακό. το ένα δεν γίνεται χωρίς το άλλο. Ακόμη πιο σημαντικό, η ασφάλεια δεν μπορεί πλέον να είναι ευθύνη μιας ομάδας που έχει κολλήσει. Πρέπει να αποτελεί προτεραιότητα για όλους στο SDLC.
Το δίλημμα AppSec
Παρά τις αυξημένες επενδύσεις στην ανάπτυξη εφαρμογών, δεν δίνεται η ίδια σημασία στην ασφάλεια. Σε έναν τόσο ανταγωνιστικό χώρο, οι πρώτοι που κινούνται τείνουν να πάρουν την ανταμοιβή. Εκείνοι που εισέρχονται στην αγορά με το «πρώτο βιώσιμο προϊόν» τους είναι πιθανό να εξετάζουν πώς αυτό το προϊόν μπορεί να εξυπηρετήσει τους πελάτες και όχι πώς μπορεί να χρησιμοποιηθεί με ασφάλεια. Με αυτές τις υψηλές προσδοκίες, οι απαιτήσεις κώδικα από τους προγραμματιστές έχουν αυξηθεί φορές 100 τα τελευταία 10 χρόνια, με το 92% να αισθάνεται πίεση να γράψει κώδικα πιο γρήγορα. Συνδυάστε το με το γεγονός ότι 53% δεν έχουν επαγγελματική εκπαίδευση ασφαλούς κωδικοποίησης, ενώ ο αριθμός των νέων τρωτών σημείων εντός του NIST Η Εθνική βάση δεδομένων ευπάθειας έχει αυξηθεί κατά πάνω από 200% τα τελευταία χρόνια και φαίνεται ότι βρισκόμαστε σε ένα δίλημμα ασφαλείας εφαρμογών.
Ωστόσο, δεν είναι ένα άλυτο δίλημμα. Η λύση απαιτεί μια πλήρη αλλαγή στον τρόπο που πολλοί βλέπουν την κωδικοποίηση και την καινοτομία, με ιδιαίτερη έμφαση στη νοοτροπία των ανθρώπων. Βάζει την ασφάλεια πρώτα και αναγνωρίζει ότι είναι εντάξει να είστε πιο αργοί στην αγορά εάν το τελικό προϊόν είναι πιο ασφαλές. Σύμφωνα με Νόμος του Boehm, "το κόστος εύρεσης και επιδιόρθωσης ενός ελαττώματος αυξάνεται εκθετικά με το χρόνο" - μια ιδέα που μπορεί να ωφελήσει την τελευταία γραμμή των οργανισμών που δίνουν προτεραιότητα στην ασφάλεια από την αρχή.
Η καθιέρωση αυτής της νοοτροπίας πρώτης ασφάλειας είναι ζωτικής σημασίας — όχι μόνο για την ομάδα ανάπτυξης, αλλά για όλους όσοι διαδραματίζουν κάποιο ρόλο στο SDLC. Οι διαχειριστές προϊόντων και έργων, οι DevOps, οι σχεδιαστές της εμπειρίας χρήστη (UX) και οι επαγγελματίες διασφάλισης ποιότητας (QA) θα επηρεάσουν το τελικό αποτέλεσμα και επομένως πρέπει να αναγνωρίσουν το τρέχον δίλημμα για την ασφάλεια εφαρμογών και πώς μπορεί να ξεπεραστεί αυτή η πρόκληση.
Σωστή ολοκληρωμένη εκπαίδευση
Αν οι ομάδες δεν καταλαβαίνουν WHY Η νοοτροπία που προέρχεται από την ασφάλεια είναι τόσο σημαντική στην ανάπτυξη εφαρμογών, που δεν πρόκειται ποτέ να την αγοράσουν πως μπορεί να επιτευχθεί. Ως εκ τούτου, η ολοκληρωμένη και συνεχής εκπαίδευση ασφάλειας εφαρμογών για ολόκληρο τον οργανισμό ανάπτυξης δεν ήταν ποτέ πιο σημαντική. Για όσους δημιουργούν τον κώδικα, είναι σημαντικό να παραδίδουν βασική μάθηση πριν από πρακτικές ασκήσεις που μιλούν απευθείας στα ζητήματα που αντιμετωπίζουν σε καθημερινή βάση. Αυτή η εκπαίδευση ειδικά για προγραμματιστές θα πρέπει να εκτελείται παράλληλα με βασικά και προηγμένα προγράμματα εκπαίδευσης για την ασφάλεια εφαρμογών για όσους έχουν ρόλους στο SDLC που μπορεί να μην χρειάζονται απαραίτητα πρακτική εξειδίκευση. Αυτού του είδους οι πρωτοβουλίες θα δώσουν τη δυνατότητα σε ολόκληρη την ομάδα να σκέφτεται διαφορετικά, να λαμβάνει πιο ενημερωμένες αποφάσεις και να ενσωματώνει την ασφάλεια σε κάθε πτυχή της ανάπτυξης.
Ωστόσο, είναι σημαντικό οι οργανισμοί να κατανοούν ότι η ασφάλεια εφαρμογών εξελίσσεται και αλλάζει συνεχώς. Η οικοδόμηση μιας ομάδας με γνώμονα την ασφάλεια που εφαρμόζει βασικές αρχές του AppSec σε κάθε βήμα του κύκλου ανάπτυξης δεν μπορεί να επιτευχθεί με ένα πρόγραμμα εκπαίδευσης «ένα και τελειωμένο». Για να διασφαλιστεί ότι οι ομάδες διατηρούν αυτή τη νοοτροπία που προέχει την ασφάλεια, ένα συνεχές και εξελισσόμενο εκπαιδευτικό πρόγραμμα είναι το κλειδί.
Πολλοί οργανισμοί εμπλέκουν ομάδες αναγνωρίζοντας και γιορτάζοντας τους πρωταθλητές ασφαλείας, οι οποίοι οδηγούν μια αλλαγή στη συμπεριφορά ασφαλείας σε όλη την ομάδα. Προσφέροντας κίνητρα ή ανταμοιβές σε όσους εφαρμόζουν με συνέπεια τις βέλτιστες πρακτικές ασφάλειας στην καθημερινή τους εργασία, ενθαρρύνουν τους πρωταθλητές να εμπλακούν με άλλους και να επηρεάσουν οργανικά την αλλαγή. Για παράδειγμα, με τη μέτρηση των αποτελεσμάτων - όπως τον αριθμό των τρωτών σημείων σε έναν κώδικα πριν και μετά τα προγράμματα κατάρτισης - και αναγνωρίζοντας την επιτυχία, είναι επίσης πολύ πιο εύκολο να εισπράξετε από το διοικητικό συμβούλιο και να δικαιολογήσετε την επένδυση σε ασφαλή εκπαίδευση κωδικοποίησης στους υπεύθυνους λήψης αποφάσεων .
Η γρήγορη καινοτομία και ο νικητής του ανταγωνισμού στην αγορά, ενώ παράλληλα βάζει την ασφάλεια πρώτη είναι δυνατή όταν οι άνθρωποι της SDLC θέτουν την ασφάλεια ως κορυφαία προτεραιότητα. Στην πραγματικότητα, καθώς ο αριθμός των τρωτών σημείων αυξάνεται και οι επιθέσεις στον κυβερνοχώρο δεν δείχνουν σημάδια επιβράδυνσης, η ασφαλής κωδικοποίηση είναι απαραίτητη για κάθε εφαρμογή για να είναι επιτυχημένη. Εφόσον ολόκληρο το SDLC εξετάζεται σε συνεχείς, προσαρμοσμένες και μετρήσιμες εκπαιδευτικές πρωτοβουλίες, η ασφάλεια δεν έχουν να χειροτερέψει πριν γίνει καλύτερα.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
