Pitääkö turvallisuuden huonontua ennen kuin se paranee?

Vuoden 2022 avauspuheenvuorossa Musta hattu turvallisuuskonferenssi, Chris Krebs, Department of Homeland Securitiesin entinen kyberturvallisuusjohtaja, totesi, että turvallisuus huononee ennen kuin se paranee. Miksi? Krebs sanoi, että "ohjelmistot ovat edelleen haavoittuvia, koska turvattomien tuotteiden edut ovat paljon suuremmat kuin haittapuolet." Turvallisuuden takaamisen sijaan ohjelmistokehityksen elinkaaren (SDLC) painopiste on päihittää kilpailu markkinoille. Itse asiassa innovointi nähdään usein ristiriidassa turvallisuuden kanssa – ensimmäisen uskotaan olevan nopeatempoinen ja tuottava, ja jälkimmäinen esteenä, joka tukahduttaa nopeasti liikkuvan sovelluskehityksen. Tämä näkemys on osoittautumassa vanhentuneeksi nykyisessä uhkakuvassa.

Kyberhyökkäysten lisääntyessä ohjelmistojen toimitusketju on suosittu kohde kyberrikollisille, jotka tunnistavat valtavan häiriön, jonka he aiheuttavat tartuttaessaan epävarmaa koodia. Esimerkiksi nyt pahamaineinen Log4Shell haavoittuvuus aiheutti tällaisen riskin, koska avoimen lähdekoodin Log4j on niin yleisesti käytössä ohjelmistosovelluksissa ja verkkopalveluissa maailmanlaajuisesti, ja haavoittuvuuden hyödyntäminen vaatii hyvin vähän asiantuntemusta. Viime aikoina, 25,000 XNUMX haitallista laajennusta WordPress-sivustoilta löytyy tietoturvariskistä, jonka monet yritykset kohtaavat, vaikka uskoivat käyttävänsä suojattuja sovelluksia ja ohjelmia verkkosivustoissaan.

Innovaatioita ja turvallisuutta on siksi tarkasteltava yhden linssin läpi. toinen ei ole mahdollista ilman toista. Vielä tärkeämpää on, että turvallisuus ei voi enää olla yhden sillotetun tiimin vastuulla. Sen on oltava kaikkien SDLC:n etusijalla.

AppSec-dilemma

Huolimatta lisääntyneistä investoinneista sovelluskehitykseen, turvallisuuteen ei sovelleta samaa merkitystä. Tällaisessa kilpailutilanteessa ensikävijät saavat yleensä palkinnon. Ne, jotka tulevat markkinoille "ensimmäisellä elinkelpoisella tuotteellaan", katsovat todennäköisesti, kuinka tämä tuote voi palvella asiakkaita, eivät sitä, kuinka sitä voidaan käyttää turvallisesti. Näiden korkeiden odotusten myötä kehittäjien koodivaatimukset ovat kasvaneet 100 kertaa viimeisen 10 vuoden aikana, ja 92 %:lla oli paineita kirjoittaa koodia nopeammin. Yhdistä tämä siihen tosiasiaan 53% ei ole ammatillista turvallista koodaus koulutusta, kun taas useita uusia haavoittuvuuksia sisällä NIST Kansallinen haavoittuvuustietokanta on kasvanut yli 200 % viime vuosien aikana, ja näyttää siltä, ​​että olemme jonkinlaisessa sovellusten tietoturvaongelmassa.

Se ei kuitenkaan ole ratkaisematon dilemma. Ratkaisu vaatii täydellisen vaihdon tavalla, jolla monet näkevät koodauksen ja innovaation, keskittyen erityisesti ihmisten ajattelutapaan. Se asettaa turvallisuuden etusijalle ja tunnustaa, että on OK olla hitaampaa markkinoille, jos lopputuote on turvallisempi. Mukaan Boehmin laki, "vian löytämisen ja korjaamisen kustannukset kasvavat eksponentiaalisesti ajan myötä" – käsite, josta voi olla hyötyä organisaatioille, jotka priorisoivat tietoturvaa alusta alkaen.

Tämän turvallisuuden etusijalla olevan ajattelutavan luominen on ratkaisevan tärkeää – ei vain kehitystiimille, vaan kaikille SDLC:ssä mukana oleville. Tuote- ja projektipäälliköt, DevOps, käyttäjäkokemussuunnittelijat (UX) ja laadunvarmistuksen (QA) ammattilaiset vaikuttavat kaikki lopputulokseen, ja siksi heidän on tunnistettava sovellusturvallisuuden nykyinen dilemma ja kuinka tämä haaste voidaan ratkaista.

Integroidun koulutuksen saaminen oikein

Jos joukkueet eivät ymmärrä miksi tietoturva-ajattelutapa on niin tärkeä sovelluskehityksessä, että he eivät koskaan osta sitä miten se voidaan saavuttaa. Integroitu ja jatkuva sovellusturvallisuuskoulutus koko kehitysorganisaatiolle ei ole siksi koskaan ollut tärkeämpää. Koodia luoville on tärkeää antaa perustavanlaatuinen oppiminen ennen käytännön harjoituksia, jotka puhuvat suoraan heidän päivittäisiin ongelmiinsa. Tätä kehittäjäkohtaista koulutusta tulisi ajaa rinnakkain perustavanlaatuisten ja edistyneiden sovellusturvallisuuskoulutusohjelmien kanssa niille, joiden roolit SDLC:ssä eivät välttämättä tarvitse käytännön asiantuntemusta. Tällaiset aloitteet antavat koko tiimille mahdollisuuden ajatella eri tavalla, tehdä tietoisempia päätöksiä ja integroida tietoturvan kaikilla kehittämisen osa-alueilla.

Silti on tärkeää, että organisaatiot ymmärtävät, että sovellusten tietoturva kehittyy ja muuttuu jatkuvasti. Turvallisuusmielisen tiimin rakentaminen, joka soveltaa keskeisiä AppSec-periaatteita kehityssyklin jokaisessa vaiheessa, ei onnistu "yksi ja tehty" koulutusohjelmalla. Jatkuva ja kehittyvä koulutusohjelma on avainasemassa, jotta tiimit säilyttävät tämän turvallisuuden etusijalla olevan ajattelutavan.

Monet organisaatiot sitouttavat tiimejä tunnustamalla ja juhlimalla tietoturvamestareita, jotka johtavat turvallisuuskäyttäytymisen muutosta koko tiimissä. Tarjoamalla kannustimia tai palkintoja niille, jotka soveltavat jatkuvasti parhaita tietoturvakäytäntöjä päivittäisessä työssään, he rohkaisevat mestareita ottamaan mukaan muita ja vaikuttamaan muutokseen orgaanisesti. Esimerkiksi mittaamalla tuloksia – kuten haavoittuvuuksien määrää koodissa ennen ja jälkeen koulutusohjelmia – ja tunnustamalla menestys, on myös paljon helpompi saada sisäänosto hallitukselta ja perustella päätöksentekijöille investoinnit turvalliseen koodauskoulutukseen. .

Nopea innovointi ja kilpailijoiden päihittäminen markkinoille ja samalla turvallisuuden asettaminen etusijalle on mahdollista, kun SDLC:n ihmiset pitävät turvallisuudesta etusijalla. Itse asiassa, kun haavoittuvuuksien määrä kasvaa ja kyberhyökkäykset eivät osoita merkkejä hidastumisesta, turvallinen koodaus on jokaisen sovelluksen onnistumisen edellytys. Niin kauan kuin koko SDLC:tä tarkastellaan jatkuvissa, tilauskohtaisissa ja mitattavissa olevissa koulutushankkeissa, turvallisuus ei omistaa pahentua ennen kuin paranee.