การรักษาความปลอดภัยต้องแย่ลงก่อนที่จะดีขึ้นหรือไม่?

ในคำปราศรัยเปิดปี 2022 หมวกสีดำ การประชุมด้านความปลอดภัย, คริส Krebsอดีตผู้อำนวยการฝ่ายความมั่นคงปลอดภัยทางไซเบอร์ของ Department of Homeland Securities กล่าวว่าการรักษาความปลอดภัยจะแย่ลงก่อนที่จะดีขึ้น ทำไม Krebs กล่าวว่า "ซอฟต์แวร์ยังคงมีความเสี่ยงเพราะประโยชน์ของผลิตภัณฑ์ที่ไม่ปลอดภัยนั้นมีมากกว่าข้อเสีย" แทนที่จะรับประกันความปลอดภัย จุดเน้นในวงจรการพัฒนาซอฟต์แวร์ (SDLC) กำลังเอาชนะการแข่งขันสู่ตลาด อันที่จริง นวัตกรรมมักถูกมองว่าขัดแย้งกับความปลอดภัย ซึ่งในอดีตเชื่อว่ามีความรวดเร็วและมีประสิทธิผล และอย่างหลังเป็นสิ่งกีดขวางบนถนนที่ขัดขวางการพัฒนาแอปพลิเคชันที่เคลื่อนไหวอย่างรวดเร็ว มุมมองนี้ได้รับการพิสูจน์แล้วว่าล้าสมัยในแนวภัยคุกคามในปัจจุบัน

ด้วยการโจมตีทางไซเบอร์ที่เพิ่มขึ้น ห่วงโซ่อุปทานซอฟต์แวร์จึงเป็นเป้าหมายยอดนิยมสำหรับอาชญากรไซเบอร์ที่ตระหนักถึงการหยุดชะงักครั้งใหญ่ที่เกิดขึ้นเมื่อติดไวรัสรหัสที่ไม่ปลอดภัย ตัวอย่างเช่น ฉาวโฉ่ในตอนนี้ Log4Shell ช่องโหว่ทำให้เกิดความเสี่ยงเนื่องจาก Log4j แบบโอเพ่นซอร์สมักถูกใช้ในแอพพลิเคชั่นซอฟต์แวร์และบริการออนไลน์ทั่วโลก และการใช้ประโยชน์จากช่องโหว่นั้นต้องใช้ความเชี่ยวชาญเพียงเล็กน้อย เมื่อเร็วๆ นี้ 25,000 ปลั๊กอินที่เป็นอันตราย พบในไซต์ WordPress เน้นความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่ธุรกิจจำนวนมากต้องเผชิญ แม้จะเชื่อว่าพวกเขากำลังใช้แอปพลิเคชันและโปรแกรมที่ปลอดภัยภายในเว็บไซต์ของตน

นวัตกรรมและความปลอดภัยจึงต้องมองผ่านเลนส์เดียว อย่างใดอย่างหนึ่งเป็นไปไม่ได้หากไม่มีอีก ที่สำคัญกว่านั้น การรักษาความปลอดภัยไม่สามารถเป็นความรับผิดชอบของทีมเดียวอีกต่อไป จะต้องมีความสำคัญสำหรับทุกคนใน SDLC

AppSec Dilemma

แม้จะมีการลงทุนเพิ่มขึ้นในการพัฒนาแอปพลิเคชัน แต่ก็ไม่ได้ให้ความสำคัญกับความปลอดภัยเช่นเดียวกัน ในพื้นที่ที่มีการแข่งขันสูง ผู้เสนอญัตติแรกมักจะได้รับรางวัล บรรดาผู้ที่เข้าสู่ตลาดด้วย “ผลิตภัณฑ์แรกที่ใช้งานได้” มักจะมองว่าผลิตภัณฑ์นี้สามารถให้บริการลูกค้าได้อย่างไร ไม่ใช่ว่าจะนำไปใช้อย่างปลอดภัยได้อย่างไร ด้วยความคาดหวังที่สูงเหล่านี้ ความต้องการโค้ดสำหรับนักพัฒนาจึงเพิ่มขึ้น ครั้ง 100 ในช่วง 10 ปีที่ผ่านมา โดย 92% รู้สึกกดดันให้เขียนโค้ดเร็วขึ้น จับคู่สิ่งนี้กับความจริงที่ว่า ลด 53% ไม่มีการฝึกอบรมการเข้ารหัสที่ปลอดภัยอย่างมืออาชีพ ในขณะที่จำนวนช่องโหว่ใหม่ภายใน NIST National Vulnerability Database เพิ่มขึ้นกว่า 200% ในช่วงหลายปีที่ผ่านมา และดูเหมือนว่าเรากำลังเผชิญกับปัญหาด้านความปลอดภัยของแอปพลิเคชัน

อย่างไรก็ตาม มันไม่ใช่ภาวะที่กลืนไม่เข้าคายไม่ออกที่แก้ไขไม่ได้ โซลูชันนี้จำเป็นต้องมีการสับเปลี่ยนอย่างสมบูรณ์ในแบบที่หลายๆ คนมองว่าการเข้ารหัสและนวัตกรรม โดยมุ่งเน้นเฉพาะที่กรอบความคิดของผู้คน ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก และตระหนักดีว่าการทำการตลาดให้ช้าลงนั้นเป็นเรื่องปกติหากผลิตภัณฑ์ขั้นสุดท้ายมีความปลอดภัยมากกว่า ตาม กฎของโบห์ม, “ค่าใช้จ่ายในการค้นหาและแก้ไขข้อบกพร่องเพิ่มขึ้นอย่างทวีคูณตามเวลา” — แนวคิดที่จะเป็นประโยชน์ต่อส่วนสำคัญที่สุดขององค์กรที่ให้ความสำคัญกับการรักษาความปลอดภัยตั้งแต่เริ่มต้น

การสร้างกรอบความคิดที่ให้ความสำคัญกับความปลอดภัยเป็นสิ่งสำคัญ — ไม่ใช่แค่สำหรับทีมพัฒนา แต่สำหรับทุกคนที่มีบทบาทใน SDLC ผู้จัดการผลิตภัณฑ์และโครงการ, DevOps, นักออกแบบประสบการณ์ผู้ใช้ (UX) และผู้เชี่ยวชาญด้านการประกันคุณภาพ (QA) ล้วนมีอิทธิพลต่อผลลัพธ์สุดท้าย ดังนั้นจึงจำเป็นต้องตระหนักถึงภาวะที่กลืนไม่เข้าคายไม่ออกในปัจจุบันสำหรับการรักษาความปลอดภัยแอปพลิเคชันและวิธีเอาชนะความท้าทายนี้

ได้รับสิทธิการศึกษาแบบบูรณาการ

ถ้าทีมไม่เข้าใจ ทำไม แนวคิดเรื่องความปลอดภัยเป็นอันดับแรกเป็นสิ่งสำคัญในการพัฒนาแอปพลิเคชัน พวกเขาจะไม่มีวันซื้อเลย อย่างไร ก็สามารถทำได้ การศึกษาความปลอดภัยแอปพลิเคชันแบบบูรณาการและต่อเนื่องสำหรับองค์กรพัฒนาทั้งหมดจึงไม่เคยมีความสำคัญมากไปกว่านี้ สำหรับผู้ที่สร้างโค้ด สิ่งสำคัญคือต้องนำเสนอการเรียนรู้พื้นฐานก่อนการฝึกปฏิบัติจริงที่พูดโดยตรงกับปัญหาที่พวกเขาเผชิญในแต่ละวัน การศึกษาเฉพาะสำหรับนักพัฒนาควรดำเนินการควบคู่ไปกับโปรแกรมการฝึกอบรมด้านความปลอดภัยของแอปพลิเคชันพื้นฐานและขั้นสูงสำหรับผู้ที่มีบทบาทใน SDLC ที่อาจไม่จำเป็นต้องมีความเชี่ยวชาญโดยตรง ความคิดริเริ่มประเภทนี้จะช่วยให้ทั้งทีมคิดแตกต่าง ทำการตัดสินใจอย่างชาญฉลาดยิ่งขึ้น และบูรณาการการรักษาความปลอดภัยในทุกด้านของการพัฒนา

แต่สิ่งสำคัญคือองค์กรต้องเข้าใจว่าการรักษาความปลอดภัยของแอปพลิเคชันมีการพัฒนาและเปลี่ยนแปลงอยู่ตลอดเวลา การสร้างทีมที่คำนึงถึงความปลอดภัยซึ่งใช้หลักการสำคัญของ AppSec ในทุกขั้นตอนของวงจรการพัฒนาไม่สามารถทำได้ด้วยโปรแกรมการฝึกอบรม "หนึ่งเดียวและทำเสร็จแล้ว" เพื่อให้แน่ใจว่าทีมจะรักษากรอบความคิดที่คำนึงถึงความปลอดภัยเป็นอันดับแรก โปรแกรมการศึกษาที่ต่อเนื่องและมีการพัฒนาจึงเป็นกุญแจสำคัญ

หลายองค์กรมีส่วนร่วมกับทีมโดยยอมรับและเฉลิมฉลองให้กับผู้สนับสนุนด้านความปลอดภัย ซึ่งเป็นผู้นำการเปลี่ยนแปลงพฤติกรรมด้านความปลอดภัยในทีม ด้วยการเสนอสิ่งจูงใจหรือรางวัลแก่ผู้ที่ใช้แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดอย่างสม่ำเสมอในการทำงานประจำวัน พวกเขาสนับสนุนให้แชมเปี้ยนมีส่วนร่วมกับผู้อื่นและโน้มน้าวการเปลี่ยนแปลงที่เกิดขึ้นเองตามธรรมชาติ ตัวอย่างเช่น โดยการวัดผลลัพธ์ เช่น จำนวนช่องโหว่ในโค้ดก่อนและหลังโปรแกรมการฝึกอบรม และการตระหนักถึงความสำเร็จ การรับซื้อจากคณะกรรมการง่ายกว่ามาก และให้เหตุผลในการลงทุนเกี่ยวกับการศึกษาการเข้ารหัสที่ปลอดภัยแก่ผู้มีอำนาจตัดสินใจ .

นวัตกรรมที่รวดเร็วและเอาชนะการแข่งขันสู่ตลาดในขณะเดียวกันก็ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก เมื่อบุคลากรของ SDLC ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก อันที่จริง เมื่อจำนวนช่องโหว่เพิ่มขึ้นและการโจมตีทางไซเบอร์ไม่แสดงสัญญาณของการชะลอตัว การเข้ารหัสอย่างปลอดภัยจึงเป็นสิ่งจำเป็นสำหรับแอปพลิเคชันใดๆ ที่จะประสบความสำเร็จ ตราบใดที่ SDLC ทั้งหมดได้รับการพิจารณาในโครงการริเริ่มการศึกษาที่ต่อเนื่อง ทำตามสั่ง และวัดผลได้ การรักษาความปลอดภัยจะไม่ มี ให้แย่ลงก่อนที่จะดีขึ้น