2022. aasta avakõnes Black Hat julgeolekukonverents, Chris Krebs, endine kodumaa väärtpaberite osakonna küberjulgeoleku direktor, teatas, et turvalisus läheb hullemaks enne, kui see paremaks muutub. Miks? Krebs ütles, et "tarkvara on endiselt haavatav, kuna ebaturvaliste toodete eelised kaaluvad üles negatiivsed küljed." Turvalisuse tagamise asemel keskendutakse kogu tarkvaraarenduse elutsükli (SDLC) konkurentsile turule. Tegelikult on innovatsioon sageli vastuolus turvalisusega – esimene arvatakse olevat kiire ja produktiivne ning teine on takistus, mis pärsib kiiresti liikuvat rakenduste arendamist. See seisukoht on praegusel ohumaastikul aegunud.
Kuna küberrünnakud sagenevad, on tarkvara tarneahel populaarne sihtmärk küberkurjategijatele, kes tunnistavad tohutuid häireid, mida nad ebaturvalise koodi nakatamisel põhjustavad. Näiteks nüüdseks kurikuulus Log4Shell haavatavus kujutas endast sellist ohtu, kuna avatud lähtekoodiga Log4j-d kasutatakse nii sageli tarkvararakendustes ja võrguteenustes kogu maailmas ning haavatavuse ärakasutamine nõuab väga vähe teadmisi. Hiljuti on 25,000 XNUMX pahatahtlikku pistikprogrammi WordPressi saitidelt leitud, tõstavad esile küberturvalisuse riski, millega paljud ettevõtted silmitsi seisavad, hoolimata sellest, et nad arvavad, et nad kasutavad oma veebisaitidel turvalisi rakendusi ja programme.
Seetõttu tuleb innovatsiooni ja turvalisust vaadelda ühe objektiivi kaudu; üks pole ilma teiseta võimalik. Veelgi olulisem on see, et turvalisus ei saa enam olla ühe silditud meeskonna vastutus. See peab olema SDLC kõigi jaoks prioriteetne.
AppSeci dilemma
Vaatamata suurenenud investeeringutele rakenduste arendusse, ei omistata turvalisusele sama tähtsust. Sellises konkurentsiruumis kipuvad esimesena liikujad saama tasu. Need, kes sisenevad turule oma "esimese elujõulise tootega", vaatavad tõenäoliselt seda, kuidas see toode saab kliente teenindada, mitte seda, kuidas seda turvaliselt kasutada. Nende kõrgete ootustega on koodinõuded arendajatele suurenenud 100 korda viimase 10 aasta jooksul on 92% tundnud survet koodi kiiremini kirjutada. Ühendage see tõsiasjaga 53% pole professionaalset turvalise kodeerimise koolitust, samas kui mitmeid uusi haavatavusi NIST Riiklik haavatavuse andmebaas on viimastel aastatel kasvanud üle 200% ja tundub, et oleme rakenduse turvalisuse dilemmas.
Siiski pole see lahendamatu dilemma. Lahendus nõuab täielikku ümberlülitamist viisil, nagu paljud näevad kodeerimist ja innovatsiooni, keskendudes konkreetselt inimeste mõtteviisile. See seab turvalisuse esikohale ja tunnistab, et on õige aeglasem turustamine, kui lõpptoode on turvalisem. Vastavalt Boehmi seadus, "defekti leidmise ja parandamise kulud kasvavad aja jooksul plahvatuslikult" – kontseptsioon, mis võib olla kasulik organisatsioonidele, kes peavad turvalisust algusest peale esikohale.
Selle turvalisusest lähtuva mõtteviisi kehtestamine on ülioluline – mitte ainult arendusmeeskonna jaoks, vaid ka kõigi jaoks, kes SDLC-s rolli mängivad. Toote- ja projektijuhid, DevOps, kasutajakogemuse (UX) disainerid ja kvaliteedi tagamise (QA) spetsialistid mõjutavad kõik lõpptulemust ja seetõttu peavad nad mõistma praegust rakenduste turvalisuse dilemmat ja seda, kuidas seda väljakutset ületada.
Õige integreeritud hariduse saamine
Kui meeskonnad ei saa aru miks turvalisusest lähtuv mõtteviis on rakenduste arendamisel nii oluline, et nad ei hakka kunagi sellesse ostma kuidas seda on võimalik saavutada. Integreeritud ja pidev rakenduste turvaharidus kogu arendusorganisatsiooni jaoks pole seetõttu kunagi olnud olulisem. Koodi loojate jaoks on oluline anda alusõpe enne praktilisi harjutusi, mis räägivad otseselt probleemidest, millega nad igapäevaselt silmitsi seisavad. Seda arendajapõhist koolitust tuleks korraldada paralleelselt põhiliste ja täiustatud rakenduste turbekoolitusprogrammidega neile, kes täidavad SDLC-s rolle, mis ei pruugi vajada praktilisi teadmisi. Sellised algatused annavad kogu meeskonnale võimaluse mõelda teisiti, teha teadlikumaid otsuseid ja integreerida turvalisust kõigis arenguaspektides.
Siiski on oluline, et organisatsioonid mõistaksid, et rakenduste turvalisus areneb ja muutub pidevalt. Turvalisusega arvestava meeskonna loomine, kes rakendab peamisi AppSeci põhimõtteid arendustsükli igal etapil, ei ole võimalik "üks ja tehtud" koolitusprogrammiga. Tagamaks, et meeskonnad säilitavad selle turvalisusest lähtuva mõtteviisi, on võtmetähtsusega jätkuv ja arenev haridusprogramm.
Paljud organisatsioonid kaasavad meeskondi, tunnustades ja tunnustades turvatšempione, kes juhivad meeskonna turvalisuskäitumise muutusi. Pakkudes stiimuleid või preemiaid neile, kes oma igapäevases töös turvalisuse parimaid tavasid järjekindlalt rakendavad, julgustavad nad meistreid teisi kaasama ja muutusi orgaaniliselt mõjutama. Näiteks mõõtes tulemusi – nagu haavatavuste arv koodis enne ja pärast koolitusprogramme – ja tunnustades edu, on ka palju lihtsam saada juhatuselt sisseoste ja õigustada otsustajatele investeeringuid turvalisesse kodeerimisõppesse. .
Kiire innovatsioon ja konkurents turule jõudmine ning turvalisus esikohale seadmine on võimalik, kui SDLC inimesed seavad turvalisuse esikohale. Kuna turvaaukude arv kasvab ja küberrünnakud ei näita aeglustumist, on turvaline kodeerimine iga rakenduse edukaks toimimiseks hädavajalik. Kuni kogu SDLC-d käsitletakse pidevates, eritellimusel ja mõõdetavates haridusalgatustes, ei ole turvalisus olema hullemaks minna, enne kui paremaks läheb.
