I inledningen av 2022 Svart hatt säkerhetskonferens, Chris Krebs, den tidigare avdelningen för cybersäkerhetschef för Homeland Securities, uppgav att säkerheten kommer att bli värre innan den blir bättre. Varför? Krebs sa att "mjukvaran förblir sårbar eftersom fördelarna med osäkra produkter vida överväger nackdelarna." Snarare än att säkerställa säkerhet, är fokus över hela mjukvaruutvecklingens livscykel (SDLC) att slå konkurrensen på marknaden. Faktum är att innovation ofta ses i strid med säkerhet - den förra anses vara snabb och produktiv, och den senare en vägspärr som kväver snabbrörlig applikationsutveckling. Denna uppfattning visar sig vara förlegad i det nuvarande hotbilden.
Med cyberattacker på uppgång är mjukvaruförsörjningskedjan ett populärt mål för cyberkriminella som känner igen de enorma störningar de orsakar när de infekterar osäker kod. Till exempel den nu ökända Log4Shell sårbarhet utgjorde en sådan risk eftersom log4j med öppen källkod är så vanligt förekommande i programvaruapplikationer och onlinetjänster över hela världen, och att utnyttja sårbarheten kräver mycket lite expertis. På senare tid har 25,000 XNUMX skadliga plugin-program hittade på WordPress-webbplatser belyser cybersäkerhetsrisken som många företag står inför, trots att de trodde att de använde säkra applikationer och program på sina webbplatser.
Innovation och säkerhet måste därför ses genom en enda lins; det ena är inte möjligt utan det andra. Ännu viktigare är att säkerheten inte längre kan vara ansvaret för ett siled team. Det måste vara en prioritet för alla i SDLC.
AppSec-dilemmat
Trots ökade investeringar i applikationsutveckling, tillämpas inte samma vikt på säkerhet. I ett sådant konkurrensutsatt område tenderar first movers att få belöningen. De som kommer in på marknaden med sin "första livskraftiga produkt" tittar sannolikt på hur den här produkten kan betjäna kunder, inte hur den kan användas säkert. Med dessa höga förväntningar har kodkraven på utvecklare ökat 100 gånger under de senaste 10 åren, där 92 % känner sig pressade att skriva kod snabbare. Para ihop detta med det faktum att 53% har ingen professionell säker kodningsutbildning, medan antalet nya sårbarheter inom NIST National Vulnerability Database har ökat med över 200 % under de senaste åren, och det verkar som om vi befinner oss i något av ett programsäkerhetsdilemma.
Det är dock inget olösligt dilemma. Lösningen kräver en fullständig omställning på det sätt som många ser på kodning och innovation, med ett specifikt fokus på människors tankesätt. Den sätter säkerheten först och inser att det är OK att vara långsammare på marknaden om slutprodukten är säkrare. Enligt Boehms lag, "kostnaden för att hitta och åtgärda en defekt växer exponentiellt med tiden" - ett koncept som kan gynna den nedersta raden av organisationer som prioriterar säkerhet från början.
Att etablera detta tänkesätt med säkerhet först är avgörande - inte bara för utvecklingsteamet, utan för alla som spelar en roll inom SDLC. Produkt- och projektledare, DevOps, designers av användarupplevelse (UX) och kvalitetssäkringspersonal (QA) kommer alla att påverka slutresultatet och måste därför inse det nuvarande dilemmat för applikationssäkerhet och hur denna utmaning kan övervinnas.
Att få rätt integrerad utbildning
Om lagen inte förstår varför ett säkerhetstänkande är så viktigt inom applikationsutveckling att de aldrig kommer att köpa in sig hur det kan uppnås. Integrerad och kontinuerlig utbildning i applikationssäkerhet för hela utvecklingsorganisationen har därför aldrig varit viktigare. För dem som skapar koden är det viktigt att ge grundläggande lärande före praktiska övningar som talar direkt till de problem de möter dagligen. Den här utvecklarspecifika utbildningen bör köras parallellt med grundläggande och avancerade programsäkerhetsutbildningsprogram för dem med roller i SDLC som kanske inte nödvändigtvis behöver praktisk expertis. Den här typen av initiativ kommer att ge hela teamet möjlighet att tänka annorlunda, fatta mer välgrundade beslut och integrera säkerhet i alla aspekter av utvecklingen.
Ändå är det viktigt att organisationer förstår att applikationssäkerhet ständigt utvecklas och förändras. Att bygga ett säkerhetsinriktat team som tillämpar viktiga AppSec-principer i varje steg i utvecklingscykeln kan inte åstadkommas med ett "en och gjort" utbildningsprogram. För att säkerställa att teamen upprätthåller detta tänkesätt med säkerhet i första hand, är ett fortsatt och utvecklande utbildningsprogram nyckeln.
Många organisationer engagerar team genom att erkänna och fira säkerhetsmästare, som leder en förändring i säkerhetsbeteendet i hela teamet. Genom att erbjuda incitament eller belöningar till dem som konsekvent tillämpar säkerhetsmetoder i sitt dagliga arbete, uppmuntrar de mästare att engagera andra och organiskt påverka förändringar. Till exempel, genom att mäta resultat - som antalet sårbarheter i en kod före och efter utbildningsprogram - och erkänna framgång, är det också mycket lättare att få inköp från styrelsen och motivera investeringar i säker kodningsutbildning för beslutsfattarna .
Att förnya snabbt och slå konkurrensen på marknaden samtidigt som säkerheten först är möjligt när folket i SDLC gör säkerheten en högsta prioritet. I själva verket, eftersom antalet sårbarheter växer och cyberattacker inte visar några tecken på att sakta ner, är kodning på ett säkert sätt ett måste för att alla applikationer ska bli framgångsrika. Så länge som hela SDLC beaktas i kontinuerliga, skräddarsydda och mätbara utbildningsinitiativ, gör inte säkerheten ha att bli värre innan det blir bättre.
