A 2022. évi nyitó vitaindítóban Fekete sapka biztonsági konferencia, Chris Krebs, a Department of Homeland Securities korábbi kiberbiztonsági igazgatója kijelentette, hogy a biztonság romlani fog, mielőtt jobbá válna. Miért? Krebs szerint "a szoftver továbbra is sebezhető, mivel a nem biztonságos termékek előnyei messze meghaladják a hátrányokat." A biztonság biztosítása helyett a szoftverfejlesztési életcikluson (SDLC) a hangsúly a versenytársak piacra jutásának megszerzésén van. Valójában az innováció gyakran ellentétes a biztonsággal – az előbbiről azt gondolják, hogy gyors ütemű és produktív, az utóbbit pedig akadály, amely elfojtja a gyorsan mozgó alkalmazásfejlesztést. Ez a nézet a jelenlegi fenyegetési környezetben elavultnak bizonyul.
A növekvő kibertámadások miatt a szoftverellátási lánc népszerű célpontja a kiberbűnözőknek, akik felismerik, hogy a nem biztonságos kód megfertőzésekor milyen hatalmas fennakadásokat okoznak. Például a mára hírhedtté vált Log4Shell A sebezhetőség azért jelentett ilyen kockázatot, mert a nyílt forráskódú Log4j-t olyan gyakran használják szoftveralkalmazásokban és online szolgáltatásokban világszerte, és a sérülékenység kihasználása nagyon kevés szakértelmet igényel. Újabban a 25,000 XNUMX rosszindulatú beépülő modul A WordPress webhelyein megtalálhatók, rávilágítanak arra a kiberbiztonsági kockázatra, amellyel sok vállalkozás szembesül, annak ellenére, hogy azt hiszik, hogy biztonságos alkalmazásokat és programokat használnak webhelyeiken.
Az innovációt és a biztonságot ezért egyetlen szemüvegen keresztül kell szemlélni; egyik nem lehetséges a másik nélkül. Még ennél is fontosabb, hogy a biztonság többé már nem lehet egyetlen elzárt csapat felelőssége. Mindenki számára prioritást kell élveznie az SDLC-ben.
Az AppSec dilemma
Az alkalmazásfejlesztésbe történő megnövekedett befektetések ellenére a biztonság nem érvényesül ugyanilyen fontossággal. Egy ilyen versenytéren az első lépések általában megkapják a jutalmat. Azok, akik „első életképes termékükkel” lépnek be a piacra, valószínűleg azt vizsgálják, hogy ez a termék hogyan szolgálhatja ki a vásárlókat, nem pedig azt, hogyan lehet biztonságosan használni. Ezekkel a magas elvárásokkal a fejlesztőkkel szembeni kódigények megnőttek 100 idők az elmúlt 10 évben, 92%-uk nyomást gyakorolt arra, hogy gyorsabban írjon kódot. Párosítsa ezt azzal a ténnyel 53% nincs professzionális biztonságos kódolási képzés, míg az új sebezhetőségek száma a NIST A National Vulnerability Database több mint 200%-kal nőtt az elmúlt néhány évben, és úgy tűnik, hogy valami alkalmazásbiztonsági dilemmában vagyunk.
Ez azonban nem megoldhatatlan dilemma. A megoldás teljes átállást igényel, ahogyan sokan látják a kódolást és az innovációt, különös tekintettel az emberek gondolkodásmódjára. A biztonságot helyezi előtérbe, és felismeri, hogy rendben van, ha lassabban kerül forgalomba, ha a végtermék biztonságosabb. Alapján Boehm törvénye, „a hiba megtalálásának és kijavításának költségei exponenciálisan növekszenek az idő előrehaladtával” – ez a koncepció előnyös lehet azoknak a szervezeteknek, amelyek kezdettől fogva a biztonságot helyezik előtérbe.
Ennek a biztonságot első helyen álló gondolkodásmódnak a kialakítása kulcsfontosságú – nem csak a fejlesztőcsapat, hanem mindenki számára, aki szerepet játszik az SDLC-ben. A termék- és projektmenedzserek, a DevOps-ok, a felhasználói élmény (UX) tervezői és a minőségbiztosítási (QA) szakemberek mind befolyásolják a végeredményt, ezért fel kell ismerniük az alkalmazások biztonságával kapcsolatos jelenlegi dilemmát és azt, hogy hogyan lehet leküzdeni ezt a kihívást.
Az integrált oktatás helyes megvalósítása
Ha a csapatok nem értik miért a biztonságot első helyen álló gondolkodásmód annyira fontos az alkalmazásfejlesztésben, hogy soha nem fogják megvenni hogyan el lehet érni. Az integrált és folyamatos alkalmazásbiztonsági oktatás a teljes fejlesztő szervezet számára ezért soha nem volt ennyire fontos. A kódot létrehozók számára fontos, hogy alapozó tanulást végezzenek a gyakorlati gyakorlatok előtt, amelyek közvetlenül azokról a problémákról szólnak, amelyekkel napi szinten szembesülnek. Ezt a fejlesztőspecifikus oktatást az alapozó és haladó alkalmazásbiztonsági képzési programokkal párhuzamosan kell lefolytatni azok számára, akik az SDLC-ben olyan szerepköröket töltenek be, akiknek nem feltétlenül van szükségük gyakorlati szakértelemre. Az ilyen jellegű kezdeményezések lehetővé teszik az egész csapat számára, hogy másképp gondolkodjanak, megalapozottabb döntéseket hozzanak, és a biztonságot a fejlesztés minden aspektusába integrálják.
Mégis fontos, hogy a szervezetek megértsék, hogy az alkalmazások biztonsága folyamatosan fejlődik és változik. A fejlesztési ciklus minden lépésében az AppSec kulcsfontosságú alapelveit alkalmazó, biztonsággal foglalkozó csapat felépítése nem valósítható meg egy „egy és kész” képzési programmal. Annak érdekében, hogy a csapatok fenntartsák ezt a biztonságot elsőrendű gondolkodásmódot, kulcsfontosságú egy folyamatos és fejlődő oktatási program.
Sok szervezet úgy vonja be a csapatokat, hogy elismeri és ünnepli a biztonsági bajnokokat, akik a csapaton belüli biztonsági magatartás változását vezetik. Azáltal, hogy ösztönzőket vagy jutalmakat kínálnak azoknak, akik következetesen alkalmazzák a legjobb biztonsági gyakorlatokat mindennapi munkájuk során, arra ösztönzik a bajnokokat, hogy bevonjanak másokat és szervesen befolyásolják a változást. Például az eredmények mérésével – például a sebezhetőségek számával egy kódban a képzési programok előtt és után – és a sikerek felismerésével sokkal könnyebben bejuthatunk a vezetőségbe, és megindokolhatjuk a biztonságos kódolási oktatásba való befektetést a döntéshozók számára. .
A gyors innováció és a versenytársak piacra dobása, ugyanakkor a biztonság előtérbe helyezése lehetséges, ha az SDLC emberei a biztonságot tartják a legfontosabbnak. Valójában, mivel a sebezhetőségek száma növekszik, és a kibertámadások nem mutatják a lassulás jelét, a biztonságos kódolás elengedhetetlen minden alkalmazás sikeres működéséhez. Mindaddig, amíg a teljes SDLC-t folyamatos, testreszabott és mérhető oktatási kezdeményezésekben veszik figyelembe, a biztonság nem ajánlatunkra hogy rosszabb legyen, mielőtt jobb lesz.
