Моделирование угроз является высокоэффективным средством защиты программного обеспечения и приложений, однако немногие организации на самом деле используют его. Однако в современной вычислительной среде и среде безопасности моделирование угроз необходимо как никогда.
Облачные распределенные системы и кросс-функциональные, гибкие группы разработчиков программного обеспечения заменили монолитные системы, созданные и управляемые разрозненными командами. Со временем программное обеспечение стало намного сложнее, а вместе с ним и угрозы. Злоумышленники изменили тактику, чтобы обойти традиционные средства обнаружения. Многие атаки больше не доставляют вредоносное ПО, например, вместо этого сосредотачиваются на компрометации учетных данных. Злоумышленники могут месяцами сидеть в корпоративных сетях, прежде чем действовать. IBM «Стоимость отчета о утечке данных” обнаружили, что организациям требуется в среднем 287 дней, чтобы выявить и локализовать нарушение.
Компании осознают необходимость. А Исследование «Компас безопасности» за 2021 г. обнаружили, что 79% средних и крупных предприятий рассматривают моделирование угроз как приоритет, но только 25% проводят моделирование на ранних этапах проектирования. И только 10% выполняют моделирование угроз для 90% разрабатываемых ими приложений.
Нам как отрасли необходимо сделать моделирование угроз стандартной практикой разработки программного обеспечения, внедрить его таким образом, чтобы с ним могли работать как команды разработчиков, так и группы безопасности, и внедрить его таким образом, чтобы он со временем давал положительные результаты и улучшался. И все это начинается со слова, которое вы, возможно, редко слышите в кругах ИТ-операторов и специалистов по безопасности: эмпатия.
Культурное изменение
Существует ряд причин разрыва между видением ценности моделирования угроз и его реальным выполнением, в том числе отсутствие связи между командами безопасности и разработчиков, а также склонность отказываться от моделирования угроз, если первоначальные усилия становятся беспорядочными и не приносят результатов. произвести желаемые результаты.
Слишком часто группы безопасности рассматривают применение мер безопасности как улицу с односторонним движением между ними и командами разработчиков, как просто указание разработчикам, что делать. Но это начинается не с той ноги. Организации должны признать, что у каждой команды есть навыки, которым может научиться другая. В конце концов, если вы поместите специалиста по безопасности в пространство для разработчиков, они потеряются.
Изменение этого мышления требует культурного сдвига, и он начинается с рассмотрения эмпатии как ценностного предложения. Человеческая сторона этого вопроса должна выйти на первый план, привлекая больше людей к обогащению наших знаний. Службы безопасности должны оценить среду, в которой работают разработчики, которым необходимо быстро разрабатывать и поставлять программное обеспечение. Команды разработчиков могут помочь командам безопасности понять такие структуры, как контейнеры, и способы управления доступом, знания, которые можно применить к политикам безопасности.
Когда команды постоянно сотрудничают, они учатся друг у друга. Потребуется время, чтобы добраться до этой точки. Это может начаться с совещаний или интеграции процессов, возможно, путем проб и ошибок, и в конечном итоге перейти к интеграции инструментов. Когда они достигают уровня зрелости, когда у всех есть базовое понимание доменов друг друга, они могут перейти к более продвинутым уровням моделирования угроз, таким как моделирование баз знаний и создание графиков концепций, которые сопоставляются друг с другом.
Но для этого нужен стабильный процесс, иначе он станет дорогим и хаотичным, что приведет к проблемам с людьми.
3 шага к лучшему моделированию угроз
Есть три ключевых элемента для создания атмосферы сотрудничества.
Коучинг: Это помогает разработчикам понять важность моделирования угроз. Это может начаться с адаптации новых сотрудников. Независимо от их опыта и сертификатов, не думайте, что они знают, как обеспечивается безопасность в вашей компании. Убедитесь, что они понимают культуру.
Сотрудничество: Культура сотрудничества и сотрудничества начинается с руководства компании, когда директор по информационной безопасности стремится служить командам. Это может занять время, но это должно быть смоделировано на уровне руководства.
интеграцию: Элементы сотрудничества объединяются, работая над интеграцией, которая является непрерывным процессом. Цель не в совершенстве, а в улучшении и развитии с течением времени.
Ключом к тому, чтобы этот подход работал, является применение метрик, в частности, глядя на результаты, такие как «уменьшение уязвимостей» — в отличие от попыток оценить детали того, как люди работают. Результаты — это не дело разработчика или безопасности, это дело каждого.
На своем опыте я убедился, что полезно иметь четкие планы на 30, 60 и 90 дней, описывающие ожидаемый результат на каждом этапе. Планы должны демонстрировать постепенный рост и осуществляться совместно. Если эти результаты должны быть измерены, или вы в конечном итоге бесцельно дрейфуете.
Эмпатия — это ключ
Как сообщество безопасности, мы обязаны помочь разработчикам освоить моделирование угроз. Это не мы против них. Нам нужно, чтобы они думали о безопасности и моделировании угроз как о части комплексного подхода, который со временем развивается.
Эмпатия как метод управления может помочь создать такую среду. Некоторые люди могут подумать, что эмпатия означает отсутствие ответственности — что понимание чьей-то позиции и мыслей — это что-то мягкое, — но на самом деле это приводит к противоположному результату. Это развивает сотрудничество, в котором мы так отчаянно нуждаемся.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
