I åpningen av 2022 Black Hat sikkerhetskonferanse, Chris Krebs, tidligere Department of Homeland Securities cybersecurities-direktør, uttalte at sikkerheten kommer til å bli verre før den blir bedre. Hvorfor? Krebs sa at "programvare forblir sårbar fordi fordelene med usikre produkter langt oppveier ulempene." I stedet for å sikre sikkerhet, slår fokuset på tvers av programvareutviklingslivssyklusen (SDLC) konkurrentene til markedet. Faktisk blir innovasjon ofte sett i strid med sikkerhet - førstnevnte antas å være raskt og produktivt, og sistnevnte en veisperring som kveler hurtiggående applikasjonsutvikling. Dette synet viser seg å være utdatert i dagens trussellandskap.
Med cyberangrep på vei oppover, er programvareforsyningskjeden et populært mål for nettkriminelle som gjenkjenner den enorme forstyrrelsen de forårsaker når de infiserer usikker kode. For eksempel den nå beryktede Log4Shell sårbarhet utgjorde en slik risiko fordi åpen kildekode Log4j er så vanlig brukt på tvers av programvareapplikasjoner og onlinetjenester over hele verden, og utnyttelse av sårbarheten krever svært lite ekspertise. Mer nylig har 25,000 XNUMX ondsinnede plugin-moduler funnet på tvers av WordPress-nettsteder fremhever cybersikkerhetsrisikoen som mange bedrifter står overfor, til tross for at de trodde de brukte sikre applikasjoner og programmer på nettsidene deres.
Innovasjon og sikkerhet må derfor sees gjennom en enkelt linse; det ene er ikke mulig uten det andre. Enda viktigere, sikkerhet kan ikke lenger være ansvaret til ett siled team. Det må være en prioritet for alle i SDLC.
AppSec-dilemmaet
Til tross for økte investeringer i applikasjonsutvikling, blir ikke den samme betydningen lagt til sikkerhet. I et slikt konkurranseutsatt område pleier first movers å få belønningen. De som kommer inn på markedet med sitt "første levedyktige produkt" ser sannsynligvis på hvordan dette produktet kan betjene kunder, ikke hvordan det kan brukes sikkert. Med disse høye forventningene har kodekravene til utviklere økt 100 ganger i løpet av de siste 10 årene, med 92 % som har følt seg presset til å skrive kode raskere. Par dette med det faktum at 53% har ingen profesjonell sikker koding opplæring, mens antall nye sårbarheter innenfor NIST National Vulnerability Database har økt med over 200 % de siste årene, og det ser ut til at vi er i noe av et programsikkerhetsdilemma.
Det er imidlertid ikke et uløselig dilemma. Løsningen krever en fullstendig omstilling på den måten at mange ser på koding og innovasjon, med et spesifikt fokus på menneskenes tankesett. Den setter sikkerhet først og anerkjenner at det er OK å være tregere til markedet hvis sluttproduktet er sikrere. I følge Boehms lov, "kostnadene for å finne og fikse en defekt vokser eksponentielt med tiden" - et konsept som kan være til fordel for bunnlinjen til organisasjoner som prioriterer sikkerhet fra starten av.
Å etablere denne sikkerhet-første tankegangen er avgjørende - ikke bare for utviklingsteamet, men for alle som spiller en rolle i SDLC. Produkt- og prosjektledere, DevOps, designere av brukeropplevelse (UX) og fagfolk innen kvalitetssikring (QA) vil alle påvirke sluttresultatet og må derfor gjenkjenne det nåværende dilemmaet for applikasjonssikkerhet og hvordan denne utfordringen kan overvinnes.
Å få integrert utdanning riktig
Hvis lagene ikke forstår hvorfor en sikkerhet-først-tankegang er så viktig innen applikasjonsutvikling at de aldri kommer til å kjøpe seg inn hvordan det kan oppnås. Integrert og kontinuerlig opplæring i applikasjonssikkerhet for hele utviklingsorganisasjonen har derfor aldri vært viktigere. For de som lager koden, er det viktig å levere grunnleggende læring før praktiske øvelser som snakker direkte til problemene de møter på daglig basis. Denne utviklerspesifikke utdanningen bør kjøres parallelt med grunnleggende og avanserte applikasjonssikkerhetstreningsprogrammer for de med roller i SDLC som kanskje ikke nødvendigvis trenger praktisk ekspertise. Slike initiativer vil gi hele teamet mulighet til å tenke annerledes, ta mer informerte beslutninger og integrere sikkerhet på tvers av alle aspekter av utviklingen.
Likevel er det viktig at organisasjoner forstår at applikasjonssikkerhet stadig utvikler seg og endres. Å bygge et sikkerhetsorientert team som bruker viktige AppSec-prinsipper på hvert trinn i utviklingssyklusen, kan ikke oppnås med et "en og gjort"-treningsprogram. For å sikre at team opprettholder denne sikkerhet-første tankegangen, er et fortsatt og utviklende utdanningsprogram nøkkelen.
Mange organisasjoner engasjerer team ved å anerkjenne og feire sikkerhetsmestere, som leder et skifte i sikkerhetsatferd på tvers av teamet. Ved å tilby insentiver eller belønninger til de som konsekvent bruker beste praksis for sikkerhet i sitt daglige arbeid, oppmuntrer de forkjempere til å engasjere andre og organisk påvirke endringer. For eksempel, ved å måle resultater – som antall sårbarheter i en kode før og etter treningsprogrammer – og anerkjenne suksess, er det også langt lettere å få buy-in fra styret og rettferdiggjøre investeringer i sikker kodeopplæring overfor beslutningstakerne .
Det er mulig å innovere raskt og slå konkurrentene på markedet, samtidig som sikkerheten først settes når folket i SDLC gjør sikkerhet til en toppprioritet. Faktisk, ettersom antallet sårbarheter vokser og nettangrep ikke viser noen tegn til å avta, er sikker koding et must for at enhver applikasjon skal lykkes. Så lenge hele SDLC vurderes i kontinuerlige, skreddersydde og målbare utdanningsinitiativer, gjør ikke sikkerhet ha å bli verre før det blir bedre.
