Dalam keynote pembuka tahun 2022 Black Hat konferensi keamanan, Chris Krebs, mantan direktur keamanan siber Departemen Dalam Negeri Sekuritas, menyatakan bahwa keamanan akan menjadi lebih buruk sebelum menjadi lebih baik. Mengapa? Krebs mengatakan bahwa "perangkat lunak tetap rentan karena manfaat dari produk yang tidak aman jauh lebih besar daripada kerugiannya." Alih-alih memastikan keamanan, fokus di seluruh siklus hidup pengembangan perangkat lunak (SDLC) mengalahkan persaingan ke pasar. Faktanya, inovasi sering terlihat bertentangan dengan keamanan โ yang pertama diyakini serba cepat dan produktif, dan yang terakhir merupakan penghalang jalan yang menghambat pengembangan aplikasi yang bergerak cepat. Pandangan ini terbukti ketinggalan zaman dalam lanskap ancaman saat ini.
Dengan meningkatnya serangan siber, rantai pasokan perangkat lunak menjadi target populer bagi penjahat siber yang menyadari gangguan besar yang mereka timbulkan saat menginfeksi kode yang tidak aman. Misalnya, yang sekarang terkenal Log4Shell kerentanan menimbulkan risiko seperti itu karena sumber terbuka Log4j sangat umum digunakan di seluruh aplikasi perangkat lunak dan layanan online di seluruh dunia, dan mengeksploitasi kerentanan memerlukan keahlian yang sangat sedikit. Baru-baru ini, 25,000 plugin berbahaya ditemukan di seluruh situs WordPress menyoroti risiko keamanan siber yang dihadapi banyak bisnis, meskipun mereka yakin bahwa mereka menggunakan aplikasi dan program yang aman di dalam situs web mereka.
Oleh karena itu, inovasi dan keamanan harus dilihat melalui satu lensa; yang satu tidak mungkin tanpa yang lain. Yang lebih penting lagi, keamanan tidak bisa lagi menjadi tanggung jawab satu tim saja. Ini harus menjadi prioritas bagi semua orang di seluruh SDLC.
Dilema AppSec
Meskipun investasi meningkat ke dalam pengembangan aplikasi, kepentingan yang sama tidak diterapkan pada keamanan. Dalam ruang kompetitif seperti itu, penggerak pertama cenderung mendapatkan hadiah. Mereka yang memasuki pasar dengan "produk layak pertama" mereka cenderung melihat bagaimana produk ini dapat melayani pelanggan, bukan bagaimana produk tersebut dapat digunakan dengan aman. Dengan harapan yang tinggi ini, tuntutan kode pada pengembang telah meningkat 100 kali selama 10 tahun terakhir, dengan 92% merasa tertekan untuk menulis kode lebih cepat. Pasangkan ini dengan fakta bahwa 53% tidak memiliki pelatihan pengkodean aman profesional, sementara jumlah kerentanan baru dalam NIST Database Kerentanan Nasional telah meningkat lebih dari 200% dalam beberapa tahun terakhir, dan tampaknya kita berada dalam dilema keamanan aplikasi.
Namun, itu bukan dilema yang tidak bisa dipecahkan. Solusinya memerlukan perubahan total dalam cara pandang banyak orang terhadap pengkodean dan inovasi, dengan fokus khusus pada pola pikir masyarakat. Ini mengutamakan keamanan dan mengakui bahwa tidak apa-apa untuk lebih lambat dipasarkan jika produk akhir lebih aman. Berdasarkan hukum Boehm, โbiaya untuk menemukan dan memperbaiki cacat tumbuh secara eksponensial seiring waktuโ โ sebuah konsep yang dapat menguntungkan perusahaan yang memprioritaskan keamanan sejak awal.
Membangun pola pikir keamanan-pertama ini sangat penting โ tidak hanya untuk tim pengembangan, tetapi untuk semua orang yang berperan dalam SDLC. Manajer produk dan proyek, DevOps, desainer pengalaman pengguna (UX), dan profesional jaminan kualitas (QA) semuanya akan memengaruhi hasil akhir dan oleh karena itu perlu mengenali dilema saat ini untuk keamanan aplikasi dan bagaimana tantangan ini dapat diatasi.
Mendapatkan Hak Pendidikan Terintegrasi
Jika tim tidak mengerti mengapa pola pikir keamanan-pertama sangat penting dalam pengembangan aplikasi, mereka tidak akan pernah setuju bagaimana itu dapat dicapai. Oleh karena itu, pendidikan keamanan aplikasi yang terintegrasi dan berkelanjutan untuk seluruh organisasi pengembangan tidak pernah menjadi lebih penting. Bagi mereka yang membuat kode, penting untuk menyampaikan pembelajaran dasar sebelum latihan langsung yang berbicara langsung dengan masalah yang mereka hadapi setiap hari. Pendidikan khusus pengembang ini harus dijalankan secara paralel dengan program pelatihan keamanan aplikasi dasar dan lanjutan bagi mereka yang memiliki peran dalam SDLC yang mungkin tidak memerlukan keahlian langsung. Inisiatif semacam ini akan memberdayakan seluruh tim untuk berpikir secara berbeda, membuat keputusan yang lebih tepat, dan mengintegrasikan keamanan di setiap aspek pengembangan.
Namun penting bagi organisasi untuk memahami bahwa keamanan aplikasi terus berkembang dan berubah. Membangun tim yang berpikiran keamanan yang menerapkan prinsip-prinsip kunci AppSec di setiap langkah siklus pengembangan tidak dapat dicapai dengan program pelatihan "satu dan selesai". Untuk memastikan tim mempertahankan pola pikir yang mengutamakan keamanan ini, program pendidikan yang berkelanjutan dan berkembang adalah kuncinya.
Banyak organisasi melibatkan tim dengan mengakui dan merayakan juara keamanan, yang memimpin perubahan perilaku keamanan di seluruh tim. Dengan menawarkan insentif atau penghargaan kepada mereka yang secara konsisten menerapkan praktik terbaik keamanan dalam pekerjaan sehari-hari mereka, mereka mendorong para juara untuk melibatkan orang lain dan secara organik memengaruhi perubahan. Misalnya, dengan mengukur hasil โ seperti jumlah kerentanan dalam kode sebelum dan sesudah program pelatihan โ dan mengenali keberhasilan, juga jauh lebih mudah untuk mendapatkan dukungan dari dewan dan membenarkan investasi pada pendidikan pengkodean yang aman kepada para pengambil keputusan. .
Berinovasi dengan cepat dan mengalahkan persaingan ke pasar sementara juga mengutamakan keamanan dimungkinkan ketika orang-orang SDLC menjadikan keamanan sebagai prioritas utama. Faktanya, karena jumlah kerentanan bertambah dan serangan siber tidak menunjukkan tanda-tanda melambat, pengkodean dengan aman adalah suatu keharusan agar aplikasi apa pun bisa berhasil. Selama seluruh SDLC dipertimbangkan dalam inisiatif pendidikan yang berkelanjutan, dipesan lebih dahulu, dan terukur, keamanan tidak memiliki menjadi lebih buruk sebelum menjadi lebih baik.
