V uvodnem govoru 2022 Črna kapa varnostna konferenca, Chris Krebs, nekdanji direktor kibernetske varnosti Ministrstva za domače vrednostne papirje, je izjavil, da se bo varnost poslabšala, preden bo boljša. Zakaj? Krebs je dejal, da "programska oprema ostaja ranljiva, ker so prednosti nevarnih izdelkov daleč večje od slabosti." Namesto zagotavljanja varnosti je poudarek na življenjskem ciklu razvoja programske opreme (SDLC) premagovanje konkurence na trgu. Pravzaprav se inovacije pogosto vidijo v nasprotju z varnostjo – za prvo se verjame, da je hitra in produktivna, za drugo pa ovira, ki duši hiter razvoj aplikacij. To stališče se v trenutni pokrajini groženj izkaže za zastarelo.
Zaradi porasta kibernetskih napadov je dobavna veriga programske opreme priljubljena tarča kibernetskih kriminalcev, ki se zavedajo velike motnje, ki jo povzročijo, ko okužijo nevarno kodo. Na primer, zdaj razvpiti Log4Shell ranljivost predstavlja takšno tveganje, ker se odprtokodni Log4j tako pogosto uporablja v programskih aplikacijah in spletnih storitvah po vsem svetu, izkoriščanje ranljivosti pa zahteva zelo malo strokovnega znanja. V zadnjem času je 25,000 zlonamernih vtičnikov ki jih najdemo na spletnih mestih WordPress, poudarjajo tveganje kibernetske varnosti, s katerim se soočajo mnoga podjetja, čeprav verjamejo, da na svojih spletnih mestih uporabljajo varne aplikacije in programe.
Na inovacije in varnost je torej treba gledati skozi eno lečo; eno brez drugega ni mogoče. Še pomembneje pa je, da varnost ne more biti več odgovornost ene same ekipe. To mora biti prednostna naloga za vse v SDLC.
Dilema AppSec
Kljub povečanemu vlaganju v razvoj aplikacij se varnosti ne pripisuje enakega pomena. V takšnem konkurenčnem prostoru tisti, ki prvi korakajo, prejmejo nagrado. Tisti, ki vstopijo na trg s svojim "prvim izvedljivim izdelkom", verjetno gledajo na to, kako lahko ta izdelek služi strankam, ne pa na to, kako ga je mogoče varno uporabljati. S temi visokimi pričakovanji so se zahteve kode za razvijalce povečale 100 krat v zadnjih 10 letih, pri čemer jih je 92 % čutilo pritisk, da morajo hitreje pisati kodo. Povežite to z dejstvom, da 53% nimajo poklicnega usposabljanja za varno kodiranje, medtem ko število novih ranljivosti znotraj NIST Nacionalna baza podatkov o ranljivosti se je v zadnjih nekaj letih povečala za več kot 200 % in zdi se, da smo v dilemi glede varnosti aplikacij.
Ni pa nerešljiva dilema. Rešitev zahteva popolno spremembo na način, kot mnogi gledajo na kodiranje in inovacije, s posebnim poudarkom na miselnosti ljudi. Varnost postavlja na prvo mesto in priznava, da je v redu biti počasnejši na trgu, če je končni izdelek varnejši. Po navedbah Boehmov zakon, »stroški iskanja in odpravljanja napake eksponentno rastejo s časom« — koncept, ki lahko koristi organizacijam, ki že od samega začetka dajejo prednost varnosti.
Vzpostavitev te miselnosti, ki je na prvem mestu varnost, je ključnega pomena – ne samo za razvojno skupino, ampak za vse, ki igrajo vlogo v SDLC. Vodje izdelkov in projektov, DevOps, oblikovalci uporabniške izkušnje (UX) in strokovnjaki za zagotavljanje kakovosti (QA) bodo vsi vplivali na končni rezultat in zato morajo prepoznati trenutno dilemo glede varnosti aplikacij in kako je mogoče premagati ta izziv.
Pravilno integrirano izobraževanje
Če ekipe ne razumejo zakaj miselnost, ki je na prvem mestu varnost, je pri razvoju aplikacij tako pomembna, da je ne bodo nikoli sprejeli kako to je mogoče doseči. Integrirano in stalno izobraževanje o varnosti aplikacij za celotno razvojno organizacijo zato še nikoli ni bilo tako pomembno. Za tiste, ki ustvarjajo kodo, je pomembno, da zagotovijo temeljno učenje pred praktičnimi vajami, ki govorijo neposredno o težavah, s katerimi se vsakodnevno srečujejo. To izobraževanje, specifično za razvijalce, je treba izvajati vzporedno s temeljnimi in naprednimi programi usposabljanja za varnost aplikacij za tiste z vlogami v SDLC, ki morda ne potrebujejo nujno praktičnega znanja. Tovrstne pobude bodo opolnomočile celotno ekipo, da bo razmišljala drugače, sprejemala bolj informirane odločitve in vključila varnost v vse vidike razvoja.
Vendar je pomembno, da organizacije razumejo, da se varnost aplikacij nenehno razvija in spreminja. Sestaviti varnostno usmerjeno ekipo, ki uporablja ključna načela AppSec na vsakem koraku razvojnega cikla, ni mogoče doseči s programom usposabljanja »eno in končano«. Da bi zagotovili, da ekipe ohranijo to miselnost, ki je na prvem mestu varnost, je ključen stalen in razvijajoč se izobraževalni program.
Številne organizacije vključijo ekipe tako, da priznajo in počastijo varnostne prvake, ki vodijo premik v varnostnem vedenju v ekipi. S ponudbo spodbud ali nagrad tistim, ki dosledno uporabljajo najboljše varnostne prakse pri svojem vsakodnevnem delu, spodbujajo prvake, da vključijo druge in organsko vplivajo na spremembe. Na primer, z merjenjem rezultatov – kot je število ranljivosti v kodi pred in po izobraževalnih programih – in prepoznavanjem uspeha je tudi veliko lažje pridobiti podporo upravnega odbora in upravičiti naložbo v izobraževanje o varnem kodiranju odločevalcem. .
Hitro inoviranje in premagovanje konkurence na trgu ob hkratnem postavljanju varnosti na prvo mesto je možno, če ljudje v SDLC varnost postavijo na prvo mesto. Ker število ranljivosti raste in kibernetski napadi ne kažejo znakov upočasnitve, je varno kodiranje nujno za uspešnost katere koli aplikacije. Dokler je celoten SDLC obravnavan v stalnih, prilagojenih in merljivih izobraževalnih pobudah, varnost ne imajo da bo slabše, preden bo bolje.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
