2022'nin açılış konuşmasında Black Hat güvenlik konferansı, Chris Krebsİç Güvenlik Bakanlığı'nın eski siber güvenlik direktörü, güvenliğin iyileşmeden önce daha da kötüleşeceğini belirtti. Neden? Krebs, "güvenli olmayan ürünlerin yararlarının olumsuz yanlarından çok daha ağır basması nedeniyle yazılımın savunmasız kaldığını" söyledi. Güvenliği sağlamak yerine, yazılım geliştirme yaşam döngüsü (SDLC) boyunca odak noktası, pazardaki rekabeti yenmek. Aslına bakılırsa, inovasyon çoğu zaman güvenlikle çelişiyor; birincisinin hızlı ve üretken olduğuna inanılıyor, ikincisi ise hızlı uygulama geliştirmeyi engelleyen bir engel. Bu görüşün mevcut tehdit ortamında geçerliliğini yitirdiği görülüyor.
Siber saldırıların artmasıyla birlikte yazılım tedarik zinciri, güvenli olmayan kod bulaştırarak neden oldukları büyük kesintinin farkına varan siber suçlular için popüler bir hedef haline geliyor. Mesela şu anda meşhur olan Log4Shell Açık kaynaklı Log4j'nin dünya çapında yazılım uygulamaları ve çevrimiçi hizmetlerde çok yaygın olarak kullanılması ve bu güvenlik açığından yararlanmak çok az uzmanlık gerektirdiğinden, güvenlik açığı bu kadar büyük bir risk oluşturuyordu. Daha yakın zamanlarda, 25,000 kötü amaçlı eklenti WordPress sitelerinde bulunan veriler, web sitelerinde güvenli uygulama ve programlar kullandıklarına inanmalarına rağmen birçok işletmenin karşılaştığı siber güvenlik riskini vurgulamaktadır.
Bu nedenle yenilik ve güvenliğe tek bir mercekten bakılmalıdır; biri olmadan diğeri mümkün değildir. Daha da önemlisi, güvenlik artık tek bir ekibin sorumluluğunda olamaz. SDLC'deki herkes için bu bir öncelik olmalıdır.
AppSec İkilemi
Uygulama geliştirmeye yönelik yatırımların artmasına rağmen güvenliğe aynı önem verilmiyor. Böylesine rekabetçi bir ortamda, ilk hamle yapanlar genellikle ödülü alır. Pazara "ilk uygulanabilir ürünü" ile girenler muhtemelen bu ürünün güvenli bir şekilde nasıl kullanılabileceğine değil, müşterilere nasıl hizmet edebileceğine bakıyorlar. Bu yüksek beklentilerle birlikte geliştiricilere yönelik kod talepleri de arttı 100 kez Son 10 yılda %92'si daha hızlı kod yazma konusunda baskı hissediyor. Bunu şu gerçekle eşleştirin: %53 Profesyonel bir güvenli kodlama eğitimi almamışken, sistemdeki yeni güvenlik açıklarının sayısı da artıyor. NIST Ulusal Güvenlik Açığı Veri Tabanı son birkaç yılda %200'ün üzerinde arttı ve öyle görünüyor ki bir tür uygulama güvenliği ikilemiyle karşı karşıyayız.
Ancak çözülemeyecek bir ikilem değil. Çözüm, insanların zihniyetine özel olarak odaklanarak, birçok kişinin kodlamaya ve yeniliğe bakış açısında tam bir değişiklik gerektiriyor. Güvenliği ilk sıraya koyar ve son ürün daha güvenliyse pazarlamanın daha yavaş olmasının normal olduğunu kabul eder. Buna göre Boehm yasası, "bir kusuru bulma ve düzeltmenin maliyeti zamanla katlanarak artar"; bu, güvenliğe baştan beri öncelik veren kuruluşlara fayda sağlayabilecek bir kavramdır.
Bu önce güvenlik zihniyetini oluşturmak, yalnızca geliştirme ekibi için değil, aynı zamanda SDLC'de rol oynayan herkes için de çok önemlidir. Ürün ve proje yöneticileri, DevOps, kullanıcı deneyimi (UX) tasarımcıları ve kalite güvence (QA) profesyonellerinin tümü nihai sonucu etkileyecektir ve bu nedenle uygulama güvenliğine yönelik mevcut ikilemi ve bu zorluğun nasıl aşılabileceğini anlamaları gerekir.
Bütünleşik Eğitimi Doğru Almak
Takımlar anlamıyorsa neden Uygulama geliştirmede güvenliği ön planda tutan bir zihniyet o kadar önemlidir ki, asla bunu kabul etmeyeceklerdir. Nasıl başarılabilir. Bu nedenle, tüm geliştirme organizasyonu için entegre ve sürekli uygulama güvenliği eğitimi hiç bu kadar önemli olmamıştı. Kodu oluşturanlar için, günlük olarak karşılaştıkları sorunlara doğrudan değinen uygulamalı alıştırmalardan önce temel öğrenim sağlamak önemlidir. Geliştiriciye özel bu eğitim, SDLC'de uygulamalı uzmanlığa ihtiyaç duymayan rollere sahip kişiler için temel ve ileri düzey uygulama güvenliği eğitim programlarıyla paralel olarak yürütülmelidir. Bu tür girişimler tüm ekibin farklı düşünmesini, daha bilinçli kararlar almasını ve güvenliği geliştirmenin her aşamasına entegre etmesini sağlayacaktır.
Ancak kuruluşların uygulama güvenliğinin sürekli olarak gelişip değiştiğini anlaması önemlidir. Geliştirme döngüsünün her adımında temel AppSec ilkelerini uygulayan güvenlik odaklı bir ekip oluşturmak, "tek ve bitmiş" bir eğitim programıyla gerçekleştirilemez. Ekiplerin bu önce güvenlik zihniyetini sürdürmelerini sağlamak için sürekli ve gelişen bir eğitim programı çok önemlidir.
Birçok kuruluş, ekip genelinde güvenlik davranışında değişime öncülük eden güvenlik şampiyonlarını takdir ederek ve kutlayarak ekiplerle etkileşime geçer. Günlük işlerinde en iyi güvenlik uygulamalarını tutarlı bir şekilde uygulayanlara teşvikler veya ödüller sunarak, savunucuları başkalarıyla etkileşim kurmaya ve değişimi organik olarak etkilemeye teşvik ederler. Örneğin, eğitim programlarından önce ve sonra bir koddaki güvenlik açıklarının sayısı gibi sonuçları ölçerek ve başarıyı takdir ederek, yönetim kurulunun desteğini almak ve karar vericilere güvenli kodlama eğitimine yapılan yatırımı haklı çıkarmak çok daha kolaydır. .
Hızlı yenilik yapmak ve pazardaki rekabeti yenmek, aynı zamanda güvenliği ilk sıraya koymak, SDLC çalışanlarının güvenliği birinci öncelik haline getirmesiyle mümkündür. Aslında, güvenlik açıklarının sayısı arttıkça ve siber saldırılar herhangi bir yavaşlama belirtisi göstermedikçe, herhangi bir uygulamanın başarılı olması için güvenli kodlama şarttır. SDLC'nin tamamı sürekli, özel ve ölçülebilir eğitim girişimlerinde dikkate alındığı sürece güvenlik var iyileşmeden önce daha da kötüye gitmek.
