בהרצאת הפתיחה של 2022 כובע שחור ועידת אבטחה, כריס קרבס, לשעבר מנהל אבטחת הסייבר של המחלקה של Homeland Securities, הצהיר שהאבטחה הולכת להחמיר לפני שהיא תשתפר. למה? קרבס אמר כי "התוכנה נותרה פגיעה מכיוון שהיתרונות של מוצרים לא מאובטחים עולים בהרבה על החסרונות". במקום להבטיח אבטחה, המיקוד לאורך מחזור החיים של פיתוח התוכנה (SDLC) מנצח את המתחרים בשוק. למעשה, חדשנות נתפסת לעתים קרובות בסתירה לאבטחה - הראשונה נחשבה כקצבית ופרודוקטיבית, והאחרונה מחסום דרכים החונק פיתוח יישומים המהירים. השקפה זו מתגלה כמיושנת בנוף האיומים הנוכחי.
עם עלייה במתקפות הסייבר, שרשרת אספקת התוכנה היא יעד פופולרי עבור פושעי סייבר שמזהים את ההפרעה העצומה שהם גורמים בעת הדבקת קוד לא מאובטח. למשל, הידוע לשמצה כיום Log4Shell הפגיעות היוותה סיכון שכזה מכיוון שהקוד הפתוח Log4j נמצא בשימוש כה נפוץ ביישומי תוכנה ושירותים מקוונים ברחבי העולם, וניצול הפגיעות דורש מומחיות מועטה מאוד. לאחרונה, ה 25,000 תוספים זדוניים שנמצאו באתרי וורדפרס מדגישים את סיכון אבטחת הסייבר שעמו מתמודדים עסקים רבים, למרות שהם מאמינים שהם משתמשים ביישומים ובתוכניות מאובטחות באתרי האינטרנט שלהם.
לכן יש לראות חדשנות וביטחון דרך עדשה אחת; אחד לא אפשרי בלי השני. אפילו יותר חשוב, אבטחה כבר לא יכולה להיות באחריות של צוות מושחת אחד. זה חייב להיות בראש סדר העדיפויות של כולם ברחבי SDLC.
דילמת AppSec
למרות ההשקעה המוגברת בפיתוח יישומים, אותה חשיבות לא מיושמת על אבטחה. במרחב תחרותי כזה, מובילים ראשונים נוטים לקבל את הפרס. אלה שנכנסים לשוק עם "המוצר הקיים הראשון" שלהם כנראה בוחנים כיצד המוצר הזה יכול לשרת את הלקוחות, ולא כיצד ניתן להשתמש בו בצורה מאובטחת. עם הציפיות הגבוהות הללו, דרישות הקוד ממפתחים גדלו 100 פעמים במהלך 10 השנים האחרונות, כאשר 92% חשו לחוץ לכתוב קוד מהר יותר. חבר את זה לעובדה ש 53% אין הכשרה מקצועית לקידוד מאובטח, בעוד מספר הפגיעויות החדשות בתוך NIST מסד הנתונים הלאומי לפגיעות גדל ביותר מ-200% בשנים האחרונות, ונראה שאנו נמצאים בדילמה של אבטחת יישומים.
עם זאת, אין זו דילמה בלתי פתירה. הפתרון דורש החלפה מלאה באופן שבו רבים רואים קידוד וחדשנות, תוך התמקדות ספציפית בהלך הרוח של האנשים. זה שם את האבטחה במקום הראשון ומזהה שזה בסדר להיות איטי יותר לשוק אם המוצר הסופי מאובטח יותר. לפי חוק בוהם, "העלות של מציאת ותיקון פגם גדלה באופן אקספוננציאלי עם הזמן" - מושג שיכול להועיל לשורה התחתונה של ארגונים שמתעדפים אבטחה מההתחלה.
ביסוס החשיבה הקודמת לאבטחה זה חיוני - לא רק עבור צוות הפיתוח, אלא עבור כל מי שממלא תפקיד בתוך SDLC. מנהלי מוצר ופרויקטים, DevOps, מעצבי חווית משתמש (UX) ומקצוענים לאבטחת איכות (QA) כולם ישפיעו על התוצאה הסופית ולכן צריכים להכיר בדילמה הנוכחית לגבי אבטחת יישומים וכיצד ניתן להתגבר על האתגר הזה.
קבלת חינוך משולב נכון
אם צוותים לא מבינים למה חשיבה ממוקדת אבטחה היא כל כך חשובה בפיתוח יישומים, שהם לעולם לא יתקנו אֵיך ניתן להשיגו. חינוך אבטחת יישומים משולב ומתמשך לכל ארגון הפיתוח מעולם לא היה חשוב יותר. לאלו שיוצרים את הקוד, חשוב להעביר למידה בסיסית לפני תרגילים מעשיים שמדברים ישירות לבעיות שהם מתמודדים איתם על בסיס יומי. יש להפעיל חינוך ספציפי למפתחים במקביל לתוכניות הכשרה בסיסיות ומתקדמות לאבטחת יישומים עבור אלו בעלי תפקידים ב-SDLC שאולי לא בהכרח זקוקים למומחיות מעשית. יוזמות מסוג זה יעצימו את כל הצוות לחשוב אחרת, לקבל החלטות מושכלות יותר ולשלב אבטחה בכל היבט של פיתוח.
עם זאת, חשוב שארגונים יבינו שאבטחת יישומים מתפתחת ומשתנה כל הזמן. בניית צוות אבטחה המיישם עקרונות מפתח של AppSec בכל שלב של מחזור הפיתוח לא יכולה להתבצע באמצעות תוכנית הכשרה "אחת ויחידה". כדי להבטיח שהצוותים ישמרו על הלך הרוח הזה של אבטחה ראשונה, תוכנית חינוכית מתמשכת ומתפתחת היא המפתח.
ארגונים רבים מערבים צוותים על ידי הכרה וחגיגה של אלופי אבטחה, המובילים שינוי בהתנהגות האבטחה ברחבי הצוות. על ידי מתן תמריצים או תגמולים לאלה שמיישמים באופן עקבי שיטות עבודה מומלצות לאבטחה בעבודה היומיומית שלהם, הם מעודדים את האלופים לעסוק באחרים ולהשפיע באופן אורגני על שינוי. לדוגמה, על ידי מדידת תוצאות - כמו מספר הפגיעות בקוד לפני ואחרי תוכניות הכשרה - וזיהוי הצלחה, זה גם הרבה יותר קל לקבל רכישה מהדירקטוריון ולהצדיק השקעה בחינוך קידוד מאובטח למקבלי ההחלטות. .
חדשנות מהירה ולנצח את התחרות בשוק תוך שימת אבטחה במקום הראשון אפשרי כאשר אנשי ה-SDLC שמים את האבטחה בראש סדר העדיפויות. למעשה, ככל שמספר הפגיעות גדל והתקפות סייבר לא מראות שום סימן להאטה, קידוד מאובטח הוא הכרחי כדי שכל יישום יצליח. כל עוד ה-SDLC כולו נחשב ביוזמות חינוך מתמשכות, מותאמות וניתנות למדידה, האבטחה לא יש להחמיר לפני שזה ישתפר.
