Modeliranje groženj je zelo učinkovito sredstvo za zaščito programske opreme in aplikacij, vendar le malo organizacij to dejansko počne. V današnjem računalniškem in varnostnem okolju pa je modeliranje groženj bolj potrebno kot kdaj koli prej.
Porazdeljeni sistemi v oblaku in medfunkcionalne, agilne ekipe za razvoj programske opreme so nadomestile monolitne sisteme, ki so jih zgradile in upravljale izolirane ekipe. Na tej poti je programska oprema postala veliko bolj zapletena – in tudi grožnje. Akterji groženj so spremenili taktiko, da bi se izognili tradicionalnim sredstvom odkrivanja. Številni napadi na primer ne prinašajo več zlonamerne programske opreme, namesto tega se osredotočajo na kompromise poverilnic. In napadalci lahko mesece sedijo v omrežjih podjetja, preden ukrepajo. IBM-ov “Stroški poročila o kršitvi podatkov” so ugotovili, da organizacije v povprečju potrebujejo 287 dni, da prepoznajo in omejijo kršitev.
Podjetja se zavedajo potrebe. A Študija Varnostni kompas iz leta 2021 ugotovili, da 79 % srednjih in velikih podjetij vidi modeliranje groženj kot prednostno nalogo, vendar le 25 % izvaja modeliranje v zgodnjih fazah načrtovanja. In le 10 % izvaja modeliranje groženj na 90 % aplikacij, ki jih razvijejo.
Kot industrija moramo modeliranje groženj narediti standardno prakso pri razvoju programske opreme, uvedeno na način, s katerim lahko sodelujejo razvojne in varnostne ekipe, in implementirano na način, ki kaže pozitivne rezultate in izboljšave skozi čas. In vse se začne z besedo, ki je morda ne slišite veliko v krogih IT in varnostnikov: empatija.
Kulturna sprememba
Obstaja več razlogov za nepovezanost med videnjem vrednosti modeliranja groženj in dejanskim izvajanjem tega, vključno s pomanjkanjem komunikacije med varnostnimi in razvojnimi skupinami ter težnjo, da se opustijo modeliranje groženj, če so začetni napori zmedeni in ne ustvariti želene rezultate.
Prepogosto lahko varnostne ekipe na uporabo varnostnih kontrol gledajo kot na enosmerno ulico med njimi in razvojnimi skupinami, preprosto kot na ukaz razvijalcem, kaj naj naredijo. Ampak to je začetek na napačni nogi. Organizacije se morajo zavedati, da ima vsaka ekipa veščine, iz katerih se lahko druga uči. Konec koncev, če bi strokovnjaka za varnost postavili v prostor za razvijalce, bi bil izgubljen.
Spreminjanje te miselnosti zahteva kulturni premik, začne pa se z gledanjem na empatijo kot vrednostno ponudbo. Človeška plat tega mora priti v ospredje, pritegniti več ljudi k bogatenju našega znanja. Varnostne ekipe morajo cenijo okolje, v katerem delajo razvijalci, pod pritiskom hitrega razvoja in dobave programske opreme. Ekipe razvijalcev lahko varnostnim ekipam pomagajo razumeti okvire, kot so vsebniki, in kako nadzorovati dostop, kar je znanje, ki ga je mogoče uporabiti pri varnostnih politikah.
Ko ekipe sodelujejo naprej in nazaj, se učijo druga od druge. Potreben bo čas, da pridemo do te točke. Začne se lahko na sestankih ali integraciji procesov, morda z delom s poskusi in napakami ter se sčasoma premakne v integracijo orodij. Ko dosežejo stopnjo zrelosti, kjer vsi osnovno razumejo domene drug drugega, se lahko premaknejo na naprednejše ravni modeliranja groženj, kot je modeliranje baz znanja in ustvarjanje grafov konceptov, ki se preslikajo skupaj.
Vendar potrebuje stabilen proces, sicer postane drag in kaotičen, kar povzroči težave z neurejenimi ljudmi.
3 koraki do boljšega modeliranja groženj
Za ustvarjanje vzdušja sodelovanja so trije ključni elementi.
Coaching: To razvijalcem pomaga razumeti pomen modeliranja groženj. Začne se lahko z vključevanjem novih zaposlenih. Ne glede na njihovo ozadje in certifikate ne predvidevajte, da vedo, kako se v vašem podjetju skrbi za varnost. Prepričajte se, da razumejo kulturo.
sodelovanje: Kultura sodelovanja in sodelovanja se začne pri vodstvu podjetja, pri čemer ima CISO stališče, da želi služiti ekipam. Lahko traja nekaj časa, vendar bi ga bilo treba oblikovati na ravni vodstva.
Integracija: Elementi sodelovanja se združujejo pri integracijah, ki so stalen proces. Cilj ni popolnost, temveč izboljšanje in razvoj skozi čas.
Ključ do tega, da ta pristop deluje, je uporabo meritev, zlasti s pregledovanjem rezultatov, kot je »zmanjševanje ranljivosti« — v nasprotju s poskusom ocenjevanja podrobnosti o tem, kako posamezniki delujejo. Rezultati niso stvar razvijalca ali varnosti, to je stvar vseh.
Iz mojih izkušenj sem ugotovil, da je koristno imeti jasne 30-, 60- in 90-dnevne načrte, ki opisujejo pričakovani rezultat na vsaki stopnji. Načrti bi morali izkazovati postopno rast in se izvajati v sodelovanju. Če je treba te rezultate izmeriti, sicer boste na koncu brezciljno odtavali.
Empatija je ključ
Kot varnostna skupnost smo odgovorni razvijalcem pomagati pri modeliranju groženj. Nismo mi proti njim. Navesti jih moramo, da razmišljajo o varnosti in modeliranju groženj kot del integriranega pristopa, ki se razvija skozi čas.
Empatija kot tehnika upravljanja lahko pomaga ustvariti to okolje. Nekateri ljudje morda mislijo, da empatija ne pomeni nobene odgovornosti – da je razumevanje položaja in misli nekoga nekako mehko – vendar dejansko povzroči nasprotni rezultat. Razvija sodelovanje, ki ga tako nujno potrebujemo.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
