Hotmodellering är ett mycket effektivt sätt att säkra mjukvara och applikationer, men väldigt få organisationer gör det faktiskt. I dagens dator- och säkerhetsmiljö är dock hotmodellering mer nödvändig än någonsin.
Molnbaserade distribuerade system och tvärfunktionella, agila mjukvaruutvecklingsteam har ersatt monolitiska system som byggts och drivs av siled team. Längs vägen har mjukvaran blivit mycket mer komplex – och hoten likaså. Hotaktörer har ändrat taktik för att komma runt traditionella metoder för upptäckt. Många attacker levererar inte längre skadlig programvara, till exempel, utan fokuserar istället på kompromisser. Och angripare kan sitta inne i företagets nätverk i månader innan de agerar. IBMs "Kostnad för en rapport om dataöverträdelse” fann att det tar i genomsnitt 287 dagar för organisationer att identifiera och begränsa ett brott.
Företagen inser behovet. A Säkerhetskompassstudie 2021 fann att 79 % av de medelstora och stora företagen ser hotmodellering som en prioritet, men endast 25 % utför modellering under de tidiga designfaserna. Och bara 10 % utför hotmodellering på 90 % av applikationerna de utvecklar.
Som bransch måste vi göra hotmodellering till en standardpraxis inom mjukvaruutveckling, införd på ett sätt som både utvecklings- och säkerhetsteam kan arbeta med, och implementerat på ett sätt som visar positiva resultat och förbättringar över tid. Och allt börjar med ett ord som du kanske inte hör så mycket i IT-operationer och säkerhetskretsar: empati.
En kulturell förändring
Det finns ett antal anledningar till att det inte finns någon koppling mellan att se värdet i hotmodellering och att faktiskt göra det, inklusive bristande kommunikation mellan säkerhets- och utvecklingsteam och en tendens att ge upp hotmodellering om de första ansträngningarna blir röriga och inte gör det. ge önskat resultat.
Alltför ofta kan säkerhetsteam se på att tillämpa säkerhetskontroller som en enkelriktad gata mellan dem och utvecklingsteam, som helt enkelt en fråga om att tala om för utvecklare vad de ska göra. Men det börjar på fel fot. Organisationer måste inse att varje team har färdigheter som det andra kan lära sig av. När allt kommer omkring, om du sätter ett säkerhetsproffs i utvecklarutrymmet, skulle de gå förlorade.
Att ändra detta tänkesätt kräver en kulturell förändring, och det börjar med att se empati som ett värdeförslag. Den mänskliga sidan av detta måste komma i förgrunden, få fler människor att engagera sig i att berika vår kunskap. Säkerhetsteam måste uppskattar miljön som utvecklarna arbetar i, under press att utveckla och leverera mjukvara snabbt. Utvecklingsteam kan hjälpa säkerhetsteam att förstå ramverk som behållare och hur man kontrollerar åtkomst, kunskap som kan tillämpas på säkerhetspolicyer.
När team får samarbete fram och tillbaka lär de sig av varandra. Det kommer att ta tid att komma till den punkten. Det kan börja i möten eller en processintegration, kanske genomgå lite trial-and-error och så småningom övergå till verktygsintegration. När de kommer till en mognadsnivå där alla har en grundläggande förståelse för varandras domäner, kan de flytta till mer avancerade nivåer av hotmodellering, som att modellera kunskapsbaser och skapa grafer över koncept som kartläggs tillsammans.
Men det behöver en stabil process, annars blir det dyrt och kaotiskt, vilket resulterar i röriga människors problem.
3 steg till bättre hotmodellering
Det finns tre nyckelelement för att skapa en samarbetsatmosfär.
Coaching: Detta hjälper utvecklare att förstå vikten av hotmodellering. Det kan börja med introduktion av nya medarbetare. Oavsett deras bakgrund och certifieringar, anta inte att de vet hur säkerheten hanteras på ditt företag. Se till att de förstår kulturen.
Samarbete: En kultur av samarbete och samarbete börjar med ett företags ledarskap, med en CISO som har attityden att vilja tjäna teamen. Det kan ta tid, men det bör utformas på ledarskapsnivå.
Integration: Delarna av samarbetet förenas och arbetar med integrationer, vilket är en pågående process. Målet är inte perfektion, utan att förbättra och utvecklas över tid.
En nyckel för att få detta tillvägagångssätt att fungera är tillämpa mätvärden, särskilt genom att titta på resultat, som att "minska sårbarheter" - i motsats till att försöka gradera detaljerna om hur individer fungerar. Resultat är inte en utvecklare eller säkerhetsgrej, det är allas grej.
Jag har funnit i min erfarenhet att det är användbart att ha tydliga 30-, 60- och 90-dagarsplaner, som beskriver det förväntade resultatet i varje steg. Planerna bör visa stegvis tillväxt och göras i samarbete. Om dessa resultat ska mätas, eller så slutar du med att driva planlöst.
Empati är nyckeln
Som säkerhetsgemenskap är det vårt ansvar att hjälpa utvecklare att anamma hotmodellering. Det är inte vi mot dem. Vi måste få dem att tänka på säkerhet och hotmodellering som en del av ett integrerat tillvägagångssätt som utvecklas över tiden.
Empati som ledningsteknik kan hjälpa till att skapa den miljön. Vissa människor kanske tror att empati inte innebär något ansvar - att förstå någons position och tankar på något sätt är mjukt - men det ger faktiskt det motsatta resultatet. Det utvecklar det samarbete som vi så desperat behöver.
