2022 के उद्घाटन के मुख्य वक्ता के रूप में काली टोपी सुरक्षा सम्मेलन, क्रिस क्रेब्स, होमलैंड सिक्योरिटीज के पूर्व साइबर सुरक्षा निदेशक ने कहा कि सुरक्षा बेहतर होने से पहले खराब हो जाएगी। क्यों? क्रेब्स ने कहा कि "सॉफ्टवेयर कमजोर रहता है क्योंकि असुरक्षित उत्पादों के लाभ डाउनसाइड्स से कहीं अधिक हैं।" सुरक्षा सुनिश्चित करने के बजाय, सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) पर ध्यान केंद्रित बाजार में प्रतिस्पर्धा को हरा रहा है। वास्तव में, नवाचार को अक्सर सुरक्षा के साथ बाधाओं पर देखा जाता है - पूर्व को तेज-तर्रार और उत्पादक माना जाता है, और बाद वाला एक ऐसा मार्ग है जो त्वरित-गतिशील अनुप्रयोग विकास को रोकता है। मौजूदा खतरे के परिदृश्य में यह नजारा पुराना साबित हो रहा है।
साइबर हमलों के बढ़ने के साथ, सॉफ़्टवेयर आपूर्ति श्रृंखला साइबर अपराधियों के लिए एक लोकप्रिय लक्ष्य है जो असुरक्षित कोड को संक्रमित करते समय उनके कारण होने वाले भारी व्यवधान को पहचानते हैं। उदाहरण के लिए, अब कुख्यात लॉग4शेल भेद्यता ने ऐसा जोखिम उत्पन्न किया क्योंकि ओपन सोर्स Log4j का उपयोग आमतौर पर दुनिया भर में सॉफ़्टवेयर एप्लिकेशन और ऑनलाइन सेवाओं में किया जाता है, और भेद्यता का फायदा उठाने के लिए बहुत कम विशेषज्ञता की आवश्यकता होती है। अभी हाल ही में, 25,000 दुर्भावनापूर्ण प्लग-इन वर्डप्रेस साइटों में पाए जाने वाले साइबर सुरक्षा जोखिम को उजागर करते हैं, जो कई व्यवसायों का सामना करते हैं, यह मानने के बावजूद कि वे अपनी वेबसाइटों के भीतर सुरक्षित एप्लिकेशन और प्रोग्राम का उपयोग कर रहे थे।
इसलिए नवाचार और सुरक्षा को एक ही लेंस के माध्यम से देखा जाना चाहिए; एक के बिना दूसरा संभव नहीं है। इससे भी महत्वपूर्ण बात यह है कि सुरक्षा अब एक खामोश टीम की जिम्मेदारी नहीं हो सकती। यह SDLC में सभी के लिए प्राथमिकता होनी चाहिए।
AppSec दुविधा
अनुप्रयोग विकास में बढ़े हुए निवेश के बावजूद, सुरक्षा पर समान महत्व लागू नहीं किया जा रहा है। ऐसे प्रतिस्पर्धी स्थान में, पहले मूवर्स को इनाम मिलने की प्रवृत्ति होती है। जो लोग अपने "पहले व्यवहार्य उत्पाद" के साथ बाजार में प्रवेश करते हैं, वे शायद यह देख रहे हैं कि यह उत्पाद ग्राहकों की सेवा कैसे कर सकता है, न कि इसे सुरक्षित रूप से कैसे उपयोग किया जा सकता है। इन उच्च उम्मीदों के साथ, डेवलपर्स पर कोड की मांग बढ़ गई है 100 बार पिछले 10 वर्षों में, 92% ने तेजी से कोड लिखने के लिए दबाव महसूस किया। इसे इस तथ्य के साथ जोड़िए कि 53% तक कोई पेशेवर सुरक्षित कोडिंग प्रशिक्षण नहीं है, जबकि नई कमजोरियों की संख्या NIST पिछले कई वर्षों में राष्ट्रीय सुभेद्यता डेटाबेस में 200% से अधिक की वृद्धि हुई है, और ऐसा लगता है कि हम किसी एप्लिकेशन सुरक्षा दुविधा में हैं।
हालांकि, यह एक अनसुलझी दुविधा नहीं है। समाधान के लिए लोगों की मानसिकता पर विशेष ध्यान देने के साथ, कोडिंग और नवाचार को देखने के तरीके में एक पूर्ण स्विच-अप की आवश्यकता होती है। यह पहले सुरक्षा रखता है और मानता है कि यदि अंतिम उत्पाद अधिक सुरक्षित है तो बाजार में धीमा होना ठीक है। के अनुसार बोहेम का नियम, "एक दोष खोजने और ठीक करने की लागत समय के साथ तेजी से बढ़ती है" - एक अवधारणा जो शुरू से ही सुरक्षा को प्राथमिकता देने वाले संगठनों की निचली पंक्ति को लाभ पहुंचा सकती है।
इस सुरक्षा-प्रथम मानसिकता को स्थापित करना महत्वपूर्ण है - न केवल विकास टीम के लिए, बल्कि उन सभी के लिए जो एसडीएलसी में भूमिका निभाते हैं। उत्पाद और परियोजना प्रबंधक, देवओप्स, उपयोगकर्ता अनुभव (यूएक्स) डिजाइनर, और गुणवत्ता आश्वासन (क्यूए) पेशेवर सभी अंतिम परिणाम को प्रभावित करेंगे और इसलिए आवेदन सुरक्षा के लिए वर्तमान दुविधा को पहचानने की जरूरत है और इस चुनौती को कैसे दूर किया जा सकता है।
एकीकृत शिक्षा अधिकार प्राप्त करना
अगर टीमों को समझ में नहीं आता है क्यों एक सुरक्षा-पहली मानसिकता अनुप्रयोग विकास के भीतर इतनी महत्वपूर्ण है, वे कभी भी खरीदने वाले नहीं हैं कैसे इसे हासिल किया जा सकता है। संपूर्ण विकास संगठन के लिए एकीकृत और निरंतर अनुप्रयोग सुरक्षा शिक्षा इसलिए अधिक महत्वपूर्ण कभी नहीं रही। कोड बनाने वालों के लिए, उन व्यावहारिक अभ्यासों से पहले मूलभूत शिक्षा देना महत्वपूर्ण है जो उन मुद्दों पर सीधे बोलते हैं जिनका वे दैनिक आधार पर सामना करते हैं। यह डेवलपर-विशिष्ट शिक्षा एसडीएलसी में भूमिका वाले लोगों के लिए मूलभूत और उन्नत एप्लिकेशन सुरक्षा प्रशिक्षण कार्यक्रमों के समानांतर चलाई जानी चाहिए, जिन्हें जरूरी नहीं कि व्यावहारिक विशेषज्ञता की आवश्यकता हो। इस प्रकार की पहल पूरी टीम को अलग तरह से सोचने, अधिक सूचित निर्णय लेने और विकास के हर पहलू में सुरक्षा को एकीकृत करने के लिए सशक्त बनाएगी।
फिर भी यह महत्वपूर्ण है कि संगठन समझें कि अनुप्रयोग सुरक्षा लगातार विकसित होती है और बदलती रहती है। एक सुरक्षा-दिमाग वाली टीम का निर्माण करना जो विकास चक्र के प्रत्येक चरण में प्रमुख ऐपसेक सिद्धांतों को लागू करती है, एक "एक और पूर्ण" प्रशिक्षण कार्यक्रम के साथ पूरा नहीं किया जा सकता है। यह सुनिश्चित करने के लिए कि टीमें इस सुरक्षा-प्रथम मानसिकता को बनाए रखें, एक सतत और विकसित शैक्षिक कार्यक्रम महत्वपूर्ण है।
कई संगठन सुरक्षा चैंपियनों को स्वीकार करके और उनका जश्न मनाते हुए टीमों को शामिल करते हैं, जो पूरे टीम में सुरक्षा व्यवहार में बदलाव का नेतृत्व करते हैं। उन लोगों को प्रोत्साहन या पुरस्कार देकर, जो अपने दिन-प्रतिदिन के काम में लगातार सुरक्षा सर्वोत्तम प्रथाओं को लागू कर रहे हैं, वे चैंपियन को दूसरों को शामिल करने और परिवर्तन को व्यवस्थित रूप से प्रभावित करने के लिए प्रोत्साहित करते हैं। उदाहरण के लिए, परिणामों को मापकर - जैसे प्रशिक्षण कार्यक्रमों से पहले और बाद में एक कोड में कमजोरियों की संख्या - और सफलता को पहचानना, बोर्ड से खरीद-फरोख्त करना और निर्णय लेने वालों को सुरक्षित कोडिंग शिक्षा पर निवेश को सही ठहराना भी कहीं अधिक आसान है। .
तेजी से नवाचार करना और बाजार में प्रतिस्पर्धा को मात देना और साथ ही सुरक्षा को पहले रखना संभव है जब एसडीएलसी के लोग सुरक्षा को सर्वोच्च प्राथमिकता देते हैं। वास्तव में, जैसे-जैसे कमजोरियों की संख्या बढ़ती है और साइबर हमले धीमे होने का कोई संकेत नहीं दिखाते हैं, किसी भी एप्लिकेशन के सफल होने के लिए सुरक्षित रूप से कोडिंग करना आवश्यक है। जब तक संपूर्ण SDLC को सतत, बीस्पोक, और मापन योग्य शिक्षा पहलों में माना जाता है, तब तक सुरक्षा नहीं है है बेहतर होने से पहले खराब होने के लिए।
