Securitatea trebuie să se înrăutățească înainte să se îmbunătățească?

În discursul de deschidere a evenimentului 2022 Pălărie neagră conferinta de securitate, Chris Krebs, fostul director de securitate cibernetică al Departamentului de Valori Internaționale, a declarat că securitatea se va înrăutăți înainte de a se îmbunătăți. De ce? Krebs a spus că „software-ul rămâne vulnerabil, deoarece beneficiile produselor nesigure depășesc cu mult dezavantajele”. Mai degrabă decât asigurarea securității, accentul pe parcursul ciclului de viață al dezvoltării software (SDLC) este depășirea concurenței pe piață. De fapt, inovația este adesea văzută în contradicție cu securitatea – prima se crede că este rapidă și productivă, iar cea de-a doua este un obstacol care împiedică dezvoltarea rapidă a aplicațiilor. Această viziune se dovedește a fi depășită în peisajul actual al amenințărilor.

Odată cu creșterea atacurilor cibernetice, lanțul de aprovizionare cu software este o țintă populară pentru infractorii cibernetici care recunosc perturbarea uriașă pe care o provoacă atunci când infectează codul nesigur. De exemplu, acum infamul Log4shell. vulnerabilitatea a reprezentat un astfel de risc, deoarece Log4j cu sursă deschisă este atât de frecvent utilizat în aplicațiile software și serviciile online din întreaga lume, iar exploatarea vulnerabilității necesită foarte puțină expertiză. Mai recent, cel 25,000 de pluginuri rău intenționate găsite pe site-urile WordPress evidențiază riscul de securitate cibernetică cu care se confruntă multe companii, în ciuda faptului că folosesc aplicații și programe sigure pe site-urile lor.

Prin urmare, inovația și securitatea trebuie privite printr-o singură lentilă; unul nu este posibil fără celălalt. Și mai important, securitatea nu mai poate fi responsabilitatea unei echipe izolate. Trebuie să fie o prioritate pentru toată lumea din SDLC.

Dilema AppSec

În ciuda investițiilor sporite în dezvoltarea de aplicații, aceeași importanță nu este aplicată securității. Într-un spațiu atât de competitiv, primii mișcări tind să obțină recompensa. Cei care intră pe piață cu „primul lor produs viabil” se uită probabil la modul în care acest produs poate servi clienților, nu cum poate fi utilizat în siguranță. Cu aceste așteptări mari, cerințele de cod pentru dezvoltatori au crescut 100 ori în ultimii 10 ani, 92% s-au simțit presați să scrie cod mai rapid. Asociați acest lucru cu faptul că 53% nu au nicio formare profesională de codificare securizată, în timp ce numărul de noi vulnerabilități din cadrul NIST National Vulnerability Database a crescut cu peste 200% în ultimii câțiva ani și se pare că ne aflăm într-o dilemă de securitate a aplicațiilor.

Cu toate acestea, nu este o dilemă de nerezolvat. Soluția necesită o schimbare completă în modul în care mulți văd codificarea și inovația, cu un accent special pe mentalitatea oamenilor. Pune securitatea pe primul loc și recunoaște că este în regulă să ajungi mai lent pe piață dacă produsul final este mai sigur. Conform legea lui Boehm, „costul de găsire și remediere a unui defect crește exponențial cu timpul” – un concept care poate beneficia de finalul organizațiilor care prioritizează securitatea încă de la început.

Stabilirea acestei mentalități de securitate este crucială – nu doar pentru echipa de dezvoltare, ci pentru toți cei care joacă un rol în SDLC. Managerii de produse și de proiect, DevOps, designerii de experiență utilizator (UX) și profesioniștii în asigurarea calității (QA) vor influența cu toții rezultatul final și, prin urmare, trebuie să recunoască dilema actuală pentru securitatea aplicațiilor și modul în care această provocare poate fi depășită.

Obținerea corectă a educației integrate

Dacă echipele nu înțeleg de ce o mentalitate care pune în primul rând securitatea este atât de importantă în dezvoltarea aplicațiilor, încât nu vor accepta niciodată cum se poate realiza. Educația integrată și continuă privind securitatea aplicațiilor pentru întreaga organizație de dezvoltare nu a fost niciodată mai importantă. Pentru cei care creează codul, este important să ofere învățare fundamentală înainte de exerciții practice care vorbesc direct despre problemele cu care se confruntă zilnic. Această educație specifică dezvoltatorului ar trebui să fie desfășurată în paralel cu programe de formare de bază și avansate în domeniul securității aplicațiilor pentru cei cu roluri în SDLC care nu au neapărat nevoie de experiență practică. Aceste tipuri de inițiative vor da putere întregii echipe să gândească diferit, să ia decizii mai informate și să integreze securitatea în fiecare aspect al dezvoltării.

Cu toate acestea, este important ca organizațiile să înțeleagă că securitatea aplicațiilor evoluează și se schimbă în mod constant. Construirea unei echipe de securitate care să aplice principiile cheie AppSec la fiecare pas al ciclului de dezvoltare nu poate fi realizată cu un program de formare „un și gata”. Pentru a ne asigura că echipele mențin această mentalitate de securitate, este esențial un program educațional continuu și în evoluție.

Multe organizații implică echipe prin recunoașterea și celebrarea campionii securității, care conduc o schimbare în comportamentul de securitate în cadrul echipei. Oferind stimulente sau recompense celor care aplică în mod constant cele mai bune practici de securitate în munca lor de zi cu zi, ei încurajează campionii să-i implice pe alții și să influențeze organic schimbarea. De exemplu, prin măsurarea rezultatelor - cum ar fi numărul de vulnerabilități dintr-un cod înainte și după programele de antrenament - și recunoașterea succesului, este, de asemenea, mult mai ușor să obțineți acceptul de la consiliu și să justificați investițiile în educația de codificare sigură pentru factorii de decizie. .

Inovarea rapidă și depășirea concurenței pe piață, punând, de asemenea, securitatea pe primul loc este posibilă atunci când oamenii din SDLC fac din securitate o prioritate de vârf. De fapt, pe măsură ce numărul vulnerabilităților crește și atacurile cibernetice nu arată nici un semn de încetinire, codificarea în siguranță este o necesitate pentru ca orice aplicație să aibă succes. Atâta timp cât întregul SDLC este luat în considerare în inițiative educaționale continue, personalizate și măsurabile, securitatea nu avea să se înrăutăţească înainte să se îmbunătăţească.