Nel keynote di apertura del 2022 Black Hat conferenza sulla sicurezza, Chris Krebs, l'ex direttore della sicurezza informatica del Department of Homeland Securities, ha affermato che la sicurezza peggiorerà prima di migliorare. Perché? Krebs ha affermato che “il software rimane vulnerabile perché i vantaggi dei prodotti non sicuri superano di gran lunga gli svantaggi”. Invece di garantire la sicurezza, l’attenzione al ciclo di vita dello sviluppo del software (SDLC) sta battendo la concorrenza sul mercato. In effetti, l’innovazione è spesso vista in contrasto con la sicurezza: la prima viene ritenuta veloce e produttiva, mentre la seconda rappresenta un ostacolo che soffoca lo sviluppo di applicazioni in rapido movimento. Questa visione si sta rivelando obsoleta nell’attuale panorama delle minacce.
Con l’aumento degli attacchi informatici, la catena di fornitura del software è un obiettivo popolare per i criminali informatici che riconoscono gli enormi disagi che causano quando infettano codice non sicuro. Ad esempio, l'ormai famigerato Log4Shell La vulnerabilità rappresentava un tale rischio perché Log4j open source è così comunemente utilizzato in applicazioni software e servizi online in tutto il mondo e lo sfruttamento della vulnerabilità richiede pochissima esperienza. Più recentemente, il 25,000 plug-in dannosi trovati nei siti WordPress evidenziano il rischio di sicurezza informatica che molte aziende devono affrontare, nonostante credano di utilizzare applicazioni e programmi sicuri all’interno dei propri siti web.
Innovazione e sicurezza devono quindi essere viste attraverso un’unica lente; l'uno non è possibile senza l'altro. Ancora più importante, la sicurezza non può più essere responsabilità di un unico team isolato. Deve essere una priorità per tutti nell’SDLC.
Il dilemma dell'AppSec
Nonostante i maggiori investimenti nello sviluppo di applicazioni, la stessa importanza non viene attribuita alla sicurezza. In uno spazio così competitivo, chi fa la prima mossa tende a ottenere la ricompensa. Coloro che entrano nel mercato con il loro “primo prodotto realizzabile” probabilmente stanno guardando a come questo prodotto può servire i clienti, non a come può essere utilizzato in modo sicuro. Con queste elevate aspettative, le richieste di codice da parte degli sviluppatori sono aumentate volte 100 negli ultimi 10 anni, con il 92% che si sente costretto a scrivere codice più velocemente. Abbina questo al fatto che 53% non hanno una formazione professionale sulla codifica sicura, mentre il numero di nuove vulnerabilità all'interno del NIST Il National Vulnerability Database è aumentato di oltre il 200% negli ultimi anni e sembra che ci troviamo di fronte a una sorta di dilemma sulla sicurezza delle applicazioni.
Tuttavia non è un dilemma irrisolvibile. La soluzione richiede un cambiamento completo nel modo in cui molti vedono la codifica e l’innovazione, con un’attenzione specifica alla mentalità delle persone. Mette la sicurezza al primo posto e riconosce che va bene essere più lenti nel commercializzare se il prodotto finale è più sicuro. Secondo La legge di Boehm, "il costo per individuare e correggere un difetto cresce esponenzialmente con il tempo" - un concetto che può avvantaggiare i profitti delle organizzazioni che danno priorità alla sicurezza fin dall'inizio.
Stabilire questa mentalità incentrata sulla sicurezza è fondamentale, non solo per il team di sviluppo, ma per tutti coloro che svolgono un ruolo all'interno dell'SDLC. Product manager e project manager, DevOps, progettisti dell'esperienza utente (UX) e professionisti del controllo qualità (QA) influenzeranno tutti il risultato finale e pertanto dovranno riconoscere l'attuale dilemma per la sicurezza delle applicazioni e come questa sfida può essere superata.
Ottenere l'istruzione integrata nel modo giusto
Se le squadre non capiscono perché una mentalità incentrata sulla sicurezza è così importante nello sviluppo di applicazioni che non accetteranno mai come può essere raggiunto. Pertanto, la formazione integrata e continua sulla sicurezza delle applicazioni per l'intera organizzazione di sviluppo non è mai stata così importante. Per coloro che creano il codice, è importante fornire l'apprendimento di base prima di esercizi pratici che parlino direttamente dei problemi che devono affrontare quotidianamente. Questa formazione specifica per gli sviluppatori dovrebbe essere condotta parallelamente ai programmi di formazione di base e avanzati sulla sicurezza delle applicazioni per coloro che ricoprono ruoli nell'SDLC che potrebbero non necessariamente aver bisogno di competenze pratiche. Questo tipo di iniziative consentiranno all’intero team di pensare in modo diverso, prendere decisioni più informate e integrare la sicurezza in ogni aspetto dello sviluppo.
Tuttavia è importante che le organizzazioni comprendano che la sicurezza delle applicazioni si evolve e cambia costantemente. La creazione di un team attento alla sicurezza che applichi i principi chiave di AppSec in ogni fase del ciclo di sviluppo non può essere realizzata con un programma di formazione “unico e fatto”. Per garantire che i team mantengano questa mentalità incentrata sulla sicurezza, è fondamentale un programma formativo continuo e in evoluzione.
Molte organizzazioni coinvolgono i team riconoscendo e celebrando i campioni della sicurezza, che guidano un cambiamento nel comportamento di sicurezza all’interno del team. Offrendo incentivi o premi a coloro che applicano costantemente le migliori pratiche di sicurezza nel loro lavoro quotidiano, incoraggiano i sostenitori a coinvolgere gli altri e influenzare organicamente il cambiamento. Ad esempio, misurando i risultati – come il numero di vulnerabilità in un codice prima e dopo i programmi di formazione – e riconoscendo il successo, è anche molto più facile ottenere il consenso del consiglio di amministrazione e giustificare l’investimento in una formazione sulla codifica sicura per i decisori. .
Innovare velocemente e battere la concorrenza sul mercato, mettendo la sicurezza al primo posto, è possibile quando le persone dell’SDLC fanno della sicurezza una priorità assoluta. Infatti, poiché il numero delle vulnerabilità cresce e gli attacchi informatici non mostrano segni di rallentamento, la codifica sicura è un must affinché qualsiasi applicazione abbia successo. Finché l’intero SDLC viene considerato in iniziative di formazione continua, su misura e misurabili, la sicurezza no avere peggiorare prima di migliorare.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
