In de openingstoespraak van de 2022 Black Hat veiligheidsconferentie, Chris Krebs, de voormalige cyberbeveiligingsdirecteur van het Department of Homeland Securities, verklaarde dat de beveiliging eerst erger zal worden voordat het beter wordt. Waarom? Krebs zei dat "software kwetsbaar blijft omdat de voordelen van onveilige producten veel groter zijn dan de nadelen." In plaats van veiligheid te garanderen, is de focus op de levenscyclus van softwareontwikkeling (SDLC) het verslaan van de concurrentie op de markt. In feite wordt innovatie vaak gezien op gespannen voet met beveiliging - de eerste wordt beschouwd als snel en productief, en de tweede is een wegversperring die de snel bewegende applicatie-ontwikkeling verstikt. Deze visie blijkt achterhaald te zijn in het huidige dreigingslandschap.
Nu het aantal cyberaanvallen toeneemt, is de softwaretoeleveringsketen een populair doelwit voor cybercriminelen die de enorme verstoring herkennen die ze veroorzaken bij het infecteren van onveilige code. Bijvoorbeeld de inmiddels beruchte Log4Shell kwetsbaarheid vormde zo'n risico omdat de open source Log4j zo vaak wordt gebruikt in softwaretoepassingen en online services over de hele wereld, en het exploiteren van de kwetsbaarheid vereist zeer weinig expertise. Meer recentelijk heeft de 25,000 kwaadaardige plug-ins gevonden op WordPress-sites benadrukken het cyberbeveiligingsrisico waarmee veel bedrijven worden geconfronteerd, ondanks het feit dat ze dachten dat ze veilige applicaties en programma's op hun websites gebruikten.
Innovatie en veiligheid moeten daarom door รฉรฉn lens worden bekeken; het een kan niet zonder het ander. Nog belangrijker is dat beveiliging niet langer de verantwoordelijkheid kan zijn van รฉรฉn team in silo's. Het moet een prioriteit zijn voor iedereen in de SDLC.
Het AppSec-dilemma
Ondanks toegenomen investeringen in applicatieontwikkeling, wordt hetzelfde belang niet gehecht aan beveiliging. In zo'n competitieve ruimte hebben first movers de neiging om de beloning te krijgen. Degenen die de markt betreden met hun "eerste levensvatbare product" kijken waarschijnlijk naar hoe dit product klanten kan bedienen, niet hoe het veilig kan worden gebruikt. Met deze hoge verwachtingen zijn de code-eisen aan ontwikkelaars toegenomen 100 keer In de afgelopen 10 jaar voelde 92% zich onder druk gezet om sneller code te schrijven. Combineer dit met het feit dat 53% geen professionele veilige coderingstraining hebben, terwijl het aantal nieuwe kwetsbaarheden binnen de NIST National Vulnerability Database is de afgelopen jaren met meer dan 200% toegenomen en het lijkt erop dat we in een soort applicatiebeveiligingsdilemma zitten.
Het is echter geen onoplosbaar dilemma. De oplossing vereist een volledige omschakeling in de manier waarop velen codering en innovatie zien, met een specifieke focus op de mentaliteit van de mensen. Het stelt veiligheid voorop en erkent dat het okรฉ is om langzamer op de markt te brengen als het eindproduct veiliger is. Volgens Wet van Bรถhm, "de kosten van het vinden en oplossen van een defect nemen exponentieel toe met de tijd" - een concept dat de bottom line kan profiteren van organisaties die vanaf het begin prioriteit geven aan beveiliging.
Het opzetten van deze security-first mindset is cruciaal - niet alleen voor het ontwikkelteam, maar voor iedereen die een rol speelt binnen de SDLC. Product- en projectmanagers, DevOps, user experience (UX) designers en quality assurance (QA) professionals zullen allemaal het eindresultaat beรฏnvloeden en moeten daarom het huidige dilemma voor applicatiebeveiliging herkennen en hoe deze uitdaging kan worden overwonnen.
Geรฏntegreerd onderwijs goed krijgen
Als teams het niet begrijpen Waarom een security-first mindset is zo belangrijk binnen applicatieontwikkeling, dat ze nooit zullen kopen in hoe het kan worden bereikt. Geรฏntegreerde en continue applicatiebeveiligingseducatie voor de hele ontwikkelorganisatie is daarom nog nooit zo belangrijk geweest. Voor degenen die de code maken, is het belangrijk om fundamenteel te leren voordat praktische oefeningen worden gedaan die rechtstreeks inspelen op de problemen waarmee ze dagelijks worden geconfronteerd. Deze ontwikkelaarspecifieke opleiding moet parallel lopen met basis- en geavanceerde trainingsprogramma's voor applicatiebeveiliging voor mensen met rollen in de SDLC die niet per se hands-on expertise nodig hebben. Dit soort initiatieven zal het hele team in staat stellen om anders te denken, beter geรฏnformeerde beslissingen te nemen en beveiliging te integreren in elk aspect van ontwikkeling.
Toch is het belangrijk dat organisaties begrijpen dat applicatiebeveiliging voortdurend evolueert en verandert. Het opbouwen van een op veiligheid gericht team dat de belangrijkste AppSec-principes toepast bij elke stap van de ontwikkelingscyclus, kan niet worden bereikt met een "eenmalig" trainingsprogramma. Om ervoor te zorgen dat teams deze security-first mentaliteit behouden, is een doorlopend en evoluerend educatief programma van cruciaal belang.
Veel organisaties betrekken teams door beveiligingskampioenen te erkennen en te vieren, die een verschuiving in beveiligingsgedrag binnen het team leiden. Door incentives of beloningen aan te bieden aan degenen die consequent best practices op het gebied van beveiliging toepassen in hun dagelijkse werk, moedigen ze kampioenen aan om anderen te betrekken en verandering organisch te beรฏnvloeden. Door bijvoorbeeld resultaten te meten - zoals het aantal kwetsbaarheden in een code voor en na trainingsprogramma's - en succes te herkennen, is het ook veel gemakkelijker om buy-in van het bestuur te krijgen en investeringen in veilig codeeronderwijs te rechtvaardigen voor de besluitvormers .
Snel innoveren en de concurrentie op de markt verslaan en tegelijkertijd beveiliging voorop stellen, is mogelijk wanneer de mensen van SDLC beveiliging tot een topprioriteit maken. Aangezien het aantal kwetsbaarheden groeit en cyberaanvallen geen tekenen van vertraging vertonen, is veilig coderen een must voor elke toepassing om succesvol te zijn. Zolang de hele SDLC wordt overwogen in continue, op maat gemaakte en meetbare onderwijsinitiatieven, is beveiliging dat niet hebben erger worden voordat het beter wordt.
