Pemodelan ancaman adalah cara yang sangat efektif untuk mengamankan perangkat lunak dan aplikasi, namun sangat sedikit organisasi yang benar-benar melakukannya. Namun, dalam lingkungan komputasi dan keamanan saat ini, pemodelan ancaman lebih diperlukan daripada sebelumnya.
Sistem terdistribusi berbasis cloud dan tim pengembangan perangkat lunak yang gesit dan lintas fungsi telah menggantikan sistem monolitik yang dibangun dan dioperasikan oleh tim yang terpisah. Sepanjang jalan, perangkat lunak telah menjadi jauh lebih kompleks โ dan begitu pula ancamannya. Pelaku ancaman telah mengubah taktik untuk menyiasati alat deteksi tradisional. Banyak serangan tidak lagi mengirimkan malware, misalnya, alih-alih berfokus pada kompromi kredensial. Dan penyerang dapat duduk di dalam jaringan perusahaan selama berbulan-bulan sebelum bertindak. IBMโBiaya Laporan Pelanggaran Dataโ menemukan bahwa dibutuhkan rata-rata 287 hari bagi organisasi untuk mengidentifikasi dan mengatasi pelanggaran.
Perusahaan memang mengenali kebutuhan. SEBUAH Studi Kompas Keamanan 2021 menemukan bahwa 79% perusahaan menengah dan besar memandang pemodelan ancaman sebagai prioritas, tetapi hanya 25% yang melakukan pemodelan selama fase desain awal. Dan hanya 10% yang melakukan pemodelan ancaman pada 90% aplikasi yang mereka kembangkan.
Sebagai sebuah industri, kita perlu menjadikan pemodelan ancaman sebagai praktik standar dalam pengembangan perangkat lunak, diperkenalkan dengan cara yang dapat digunakan oleh tim pengembangan dan keamanan, dan diimplementasikan dengan cara yang menunjukkan hasil dan peningkatan positif dari waktu ke waktu. Dan semuanya dimulai dengan sebuah kata yang mungkin tidak sering Anda dengar di operasi TI dan lingkungan keamanan: empati.
Perubahan Budaya
Ada sejumlah alasan terputusnya hubungan antara melihat nilai dalam pemodelan ancaman dan benar-benar melakukannya, termasuk kurangnya komunikasi antara tim keamanan dan pengembangan, dan kecenderungan untuk menyerah pada pemodelan ancaman jika upaya awal menjadi kacau dan tidak berhasil. menghasilkan hasil yang diinginkan.
Terlalu sering, tim keamanan dapat melihat penerapan kontrol keamanan sebagai jalan satu arah antara mereka dan tim pengembangan, hanya sebagai masalah memberi tahu pengembang apa yang harus dilakukan. Tapi itu dimulai dengan langkah yang salah. Organisasi perlu menyadari bahwa setiap tim memiliki keterampilan yang dapat dipelajari oleh yang lain. Lagi pula, jika Anda menempatkan pro keamanan di ruang pengembang, mereka akan hilang.
Mengubah pola pikir ini membutuhkan pergeseran budaya, dan itu dimulai dengan melihat empati sebagai proposisi nilai. Sisi kemanusiaan dari hal ini perlu menjadi yang terdepan, melibatkan lebih banyak orang untuk memperkaya pengetahuan kita. Tim keamanan perlu hargai tempat kerja pengembang lingkungan, di bawah tekanan untuk mengembangkan dan mengirimkan perangkat lunak dengan cepat. Tim pengembang dapat membantu tim keamanan memahami kerangka kerja seperti wadah dan cara mengontrol akses, pengetahuan yang dapat diterapkan pada kebijakan keamanan.
Ketika tim mendapatkan kolaborasi bolak-balik, mereka belajar dari satu sama lain. Butuh waktu untuk sampai ke titik itu. Ini mungkin dimulai dalam rapat atau integrasi proses, mungkin bekerja melalui sedikit coba-coba, dan akhirnya beralih ke integrasi alat. Ketika mereka mencapai tingkat kedewasaan di mana setiap orang memiliki pemahaman dasar tentang domain masing-masing, mereka kemudian dapat pindah ke tingkat pemodelan ancaman yang lebih maju, seperti memodelkan basis pengetahuan dan membuat grafik konsep yang dipetakan bersama.
Tetapi itu membutuhkan proses yang stabil, atau menjadi mahal dan kacau, sehingga menimbulkan masalah orang yang berantakan.
3 Langkah untuk Pemodelan Ancaman yang Lebih Baik
Ada tiga elemen kunci untuk menciptakan suasana kolaboratif.
Pembinaan: Ini membantu pengembang memahami pentingnya pemodelan ancaman. Itu bisa dimulai dengan orientasi karyawan baru. Terlepas dari latar belakang dan sertifikasi mereka, jangan berasumsi bahwa mereka tahu bagaimana keamanan ditangani di perusahaan Anda. Pastikan mereka memahami budayanya.
Kolaborasi: Budaya kerjasama dan kolaborasi dimulai dengan kepemimpinan perusahaan, dengan CISO memiliki sikap ingin melayani tim. Ini bisa memakan waktu, tetapi harus dimodelkan di tingkat kepemimpinan.
integrasi: Unsur-unsur kerja sama datang bersama-sama bekerja pada integrasi, yang merupakan proses yang berkelanjutan. Tujuannya bukanlah kesempurnaan, tetapi untuk meningkatkan dan berkembang dari waktu ke waktu.
Kunci untuk membuat pendekatan ini berhasil adalah menerapkan metrik, khususnya dengan melihat hasil, seperti โmengurangi kerentananโ โ sebagai lawan dari mencoba menilai detail cara kerja individu. Hasil bukanlah hal pengembang atau keamanan, itu urusan semua orang.
Saya telah menemukan dalam pengalaman saya bahwa berguna untuk memiliki rencana 30-, 60-, dan 90-hari yang jelas, menggambarkan hasil yang diharapkan pada setiap tahap. Rencana tersebut harus menunjukkan pertumbuhan bertahap dan dilakukan secara kolaboratif. Jika hasil ini harus diukur, atau Anda akhirnya hanyut tanpa tujuan.
Empati Adalah Kuncinya
Sebagai komunitas keamanan, adalah tanggung jawab kita untuk membantu pengembang merangkul pemodelan ancaman. Bukan kita melawan mereka. Kita perlu membuat mereka berpikir tentang keamanan, dan pemodelan ancaman, sebagai bagian dari pendekatan terpadu yang berkembang dari waktu ke waktu.
Empati sebagai teknik manajemen dapat membantu menciptakan lingkungan tersebut. Beberapa orang mungkin berpikir empati berarti tidak ada pertanggungjawaban โ bahwa memahami posisi dan pikiran seseorang entah bagaimana lembut โ tetapi sebenarnya menghasilkan hasil yang sebaliknya. Ini mengembangkan kolaborasi yang sangat kami butuhkan.
