W inauguracyjnym przemówieniu 2022 Czarny kapelusz konferencja bezpieczeństwa, Chrisa Krebsa, były dyrektor Departamentu ds. Bezpieczeństwa Krajowego, stwierdził, że bezpieczeństwo będzie się pogarszać, zanim się poprawi. Czemu? Krebs powiedział, że „oprogramowanie pozostaje podatne na ataki, ponieważ korzyści płynące z niezabezpieczonych produktów znacznie przewyższają wady”. Zamiast zapewniać bezpieczeństwo, cały cykl życia oprogramowania (SDLC) skupia się na pokonaniu konkurencji na rynku. W rzeczywistości innowacyjność jest często postrzegana jako sprzeczna z bezpieczeństwem — ta pierwsza uważana jest za szybką i produktywną, a ta druga stanowi przeszkodę, która hamuje szybki rozwój aplikacji. Ten pogląd okazuje się przestarzały w obecnym krajobrazie zagrożeń.
Wraz ze wzrostem liczby cyberataków łańcuch dostaw oprogramowania jest popularnym celem cyberprzestępców, którzy zdają sobie sprawę z ogromnych zakłóceń, jakie powodują infekując niezabezpieczony kod. Na przykład obecnie niesławny Log4Shell luka stanowiła takie ryzyko, ponieważ Log4j o otwartym kodzie źródłowym jest tak powszechnie używany w aplikacjach i usługach online na całym świecie, a wykorzystanie luki wymaga bardzo niewielkiej wiedzy. Niedawno 25,000 XNUMX złośliwych wtyczek znalezione w witrynach WordPress podkreślają ryzyko cyberbezpieczeństwa, z którym boryka się wiele firm, mimo że sądzą, że używają bezpiecznych aplikacji i programów w swoich witrynach.
Innowacje i bezpieczeństwo należy zatem postrzegać przez jedną soczewkę; jedno nie jest możliwe bez drugiego. Co ważniejsze, za bezpieczeństwo nie może już leżeć jeden oddzielny zespół. Musi to być priorytet dla wszystkich w SDLC.
Dylemat AppSec
Pomimo zwiększonych inwestycji w rozwój aplikacji, takie samo znaczenie nie jest przykładane do bezpieczeństwa. W tak konkurencyjnej przestrzeni pierwsi gracze mają tendencję do zdobywania nagrody. Ci, którzy wchodzą na rynek ze swoim „pierwszym opłacalnym produktem”, prawdopodobnie patrzą na to, jak ten produkt może służyć klientom, a nie na to, jak można go bezpiecznie używać. Z tymi wysokimi oczekiwaniami wzrosły wymagania dotyczące kodu od programistów 100 czasy w ciągu ostatnich 10 lat, a 92% czuło się zmuszonych do szybszego pisania kodu. Połącz to z faktem, że 53% nie mają profesjonalnego szkolenia z bezpiecznego kodowania, a liczba nowych luk w zabezpieczeniach NIST W ciągu ostatnich kilku lat National Vulnerability Database wzrosła o ponad 200% i wydaje się, że mamy do czynienia z dylematem bezpieczeństwa aplikacji.
Nie jest to jednak dylemat nie do rozwiązania. Rozwiązanie wymaga całkowitej zmiany w sposób, w jaki wiele osób postrzega kodowanie i innowacje, ze szczególnym uwzględnieniem sposobu myślenia ludzi. Stawia bezpieczeństwo na pierwszym miejscu i uznaje, że wolniejsze jest wprowadzanie na rynek, jeśli produkt końcowy jest bezpieczniejszy. Według Prawo Boehma, „koszt znalezienia i usunięcia defektu rośnie wykładniczo z czasem” — koncepcja, która może przynieść korzyści organizacjom, które od samego początku stawiają na bezpieczeństwie.
Stworzenie tego sposobu myślenia zorientowanego na bezpieczeństwo jest kluczowe — nie tylko dla zespołu programistów, ale dla każdego, kto odgrywa rolę w SDLC. Menedżerowie produktów i projektów, DevOps, projektanci doświadczenia użytkownika (UX) i specjaliści ds. zapewnienia jakości (QA) będą mieć wpływ na wynik końcowy i dlatego muszą rozpoznać obecny dylemat dotyczący bezpieczeństwa aplikacji i sposobu, w jaki można go przezwyciężyć.
Właściwa edukacja zintegrowana
Jeśli zespoły nie rozumieją dlaczego nastawienie na bezpieczeństwo jest tak ważne w tworzeniu aplikacji, że nigdy się nie kupią w jaki sposób można to osiągnąć. Zintegrowana i ciągła edukacja w zakresie bezpieczeństwa aplikacji dla całej organizacji deweloperskiej nigdy nie była ważniejsza. Dla osób tworzących kod ważne jest, aby przed praktycznymi ćwiczeniami, które odnoszą się bezpośrednio do problemów, z którymi borykają się na co dzień, zapewnić podstawową wiedzę. Ta edukacja dla programistów powinna być prowadzona równolegle z podstawowymi i zaawansowanymi programami szkoleniowymi dotyczącymi bezpieczeństwa aplikacji dla osób pełniących role w SDLC, które niekoniecznie wymagają praktycznej wiedzy. Tego rodzaju inicjatywy pozwolą całemu zespołowi myśleć inaczej, podejmować bardziej świadome decyzje i integrować bezpieczeństwo we wszystkich aspektach rozwoju.
Jednak ważne jest, aby organizacje zrozumiały, że bezpieczeństwo aplikacji stale ewoluuje i zmienia się. Zbudowanie zespołu dbającego o bezpieczeństwo, który stosuje kluczowe zasady AppSec na każdym etapie cyklu programistycznego, nie może zostać zrealizowane za pomocą jednego programu szkoleniowego. Aby zapewnić zespołom utrzymanie tego nastawienia na pierwszym miejscu w zakresie bezpieczeństwa, kluczowy jest ciągły i ewoluujący program edukacyjny.
Wiele organizacji angażuje zespoły, doceniając i doceniając mistrzów bezpieczeństwa, którzy kierują zmianą zachowań związanych z bezpieczeństwem w całym zespole. Oferując zachęty lub nagrody tym, którzy konsekwentnie stosują najlepsze praktyki w zakresie bezpieczeństwa w swojej codziennej pracy, zachęcają mistrzów do angażowania innych i organicznego wpływania na zmiany. Na przykład, mierząc wyniki — takie jak liczba luk w kodzie przed programami szkoleniowymi i po nich — oraz dostrzegając sukces, znacznie łatwiej jest uzyskać akceptację zarządu i uzasadnić inwestycję w edukację w zakresie bezpiecznego kodowania dla decydentów .
Szybkie wprowadzanie innowacji i pokonywanie konkurencji na rynku, przy jednoczesnym stawianiu bezpieczeństwa na pierwszym miejscu, jest możliwe, gdy ludzie z SDLC stawiają bezpieczeństwo na pierwszym miejscu. W rzeczywistości, ponieważ liczba luk w zabezpieczeniach rośnie, a cyberataki nie wykazują oznak spowolnienia, bezpieczne kodowanie jest niezbędne, aby każda aplikacja odniosła sukces. Dopóki całe SDLC jest uwzględniane w ciągłych, dostosowanych do potrzeb i wymiernych inicjatywach edukacyjnych, bezpieczeństwo nie mieć pogorszyć się, zanim stanie się lepiej.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
