2022 کے افتتاحی کلیدی خط میں بلیک ہیٹ سیکورٹی کانفرنس، کرس کربسہوم لینڈ سیکورٹیز سائبرسیکیوریٹی کے سابق ڈپارٹمنٹ ڈائریکٹر نے کہا کہ سیکورٹی بہتر ہونے سے پہلے مزید خراب ہونے والی ہے۔ کیوں؟ کربس نے کہا کہ "سافٹ ویئر کمزور رہتا ہے کیونکہ غیر محفوظ مصنوعات کے فوائد نیچے کی طرف سے کہیں زیادہ ہیں۔" سیکورٹی کو یقینی بنانے کے بجائے، پورے سافٹ ویئر ڈویلپمنٹ لائف سائیکل (SDLC) پر توجہ مارکیٹ کے مقابلے کو شکست دے رہی ہے۔ درحقیقت، جدت طرازی کو اکثر سیکورٹی کے ساتھ متصادم دیکھا جاتا ہے - سابقہ کو تیز رفتار اور نتیجہ خیز سمجھا جاتا ہے، اور بعد میں ایک رکاوٹ ہے جو تیزی سے چلنے والی ایپلیکیشن کی ترقی کو روکتی ہے۔ موجودہ خطرے کے منظر نامے میں یہ نظریہ پرانا ثابت ہو رہا ہے۔
سائبر حملوں میں اضافے کے ساتھ، سافٹ ویئر سپلائی چین سائبر کرائمینز کے لیے ایک مقبول ہدف ہے جو غیر محفوظ کوڈ کو متاثر کرنے کے دوران ہونے والی بڑی رکاوٹ کو پہچانتے ہیں۔ مثال کے طور پر، اب بدنام لاگ 4 شیل کمزوری نے ایسا خطرہ لاحق کیا کیونکہ اوپن سورس Log4j پوری دنیا میں سافٹ ویئر ایپلی کیشنز اور آن لائن سروسز میں عام طور پر استعمال ہوتا ہے، اور کمزوری کا فائدہ اٹھانے کے لیے بہت کم مہارت کی ضرورت ہوتی ہے۔ ابھی حال ہی میں، دی 25,000 بدنیتی پر مبنی پلگ ان تمام ورڈپریس سائٹس پر پائے جانے والے سائبر سیکیورٹی کے خطرے کو اجاگر کرتے ہیں جس کا سامنا بہت سے کاروباروں کو ہوتا ہے، اس یقین کے باوجود کہ وہ اپنی ویب سائٹوں میں محفوظ ایپلیکیشنز اور پروگرام استعمال کر رہے ہیں۔
اس لیے جدت اور سلامتی کو ایک عینک سے دیکھا جانا چاہیے۔ ایک دوسرے کے بغیر ممکن نہیں۔ اس سے بھی اہم بات یہ ہے کہ سیکیورٹی اب ایک خاموش ٹیم کی ذمہ داری نہیں ہوسکتی ہے۔ یہ SDLC میں ہر کسی کے لیے ایک ترجیح ہونی چاہیے۔
AppSec مخمصہ
ایپلی کیشن ڈویلپمنٹ میں بڑھتی ہوئی سرمایہ کاری کے باوجود، سیکورٹی پر وہی اہمیت نہیں دی جا رہی ہے۔ ایسی مسابقتی جگہ میں، پہلی حرکت کرنے والوں کو انعام ملتا ہے۔ جو لوگ اپنی "پہلی قابل عمل پروڈکٹ" کے ساتھ مارکیٹ میں داخل ہوتے ہیں وہ ممکنہ طور پر یہ دیکھ رہے ہوتے ہیں کہ یہ پروڈکٹ کس طرح صارفین کی خدمت کر سکتی ہے، نہ کہ اسے محفوظ طریقے سے کیسے استعمال کیا جا سکتا ہے۔ ان اعلیٰ توقعات کے ساتھ، ڈویلپرز پر کوڈ کی مانگ بڑھ گئی ہے۔ 100 اوقات گزشتہ 10 سالوں کے دوران، 92 فیصد کو کوڈ کو تیزی سے لکھنے کے لیے دباؤ کا احساس ہوا۔ اس کو اس حقیقت کے ساتھ جوڑیں۔ 53٪ کوئی پیشہ ورانہ محفوظ کوڈنگ کی تربیت نہیں ہے، جبکہ اندر اندر نئے خطرات کی تعداد NIST پچھلے کئی سالوں میں قومی خطرے کے ڈیٹا بیس میں 200% سے زیادہ اضافہ ہوا ہے، اور ایسا لگتا ہے کہ ہم کسی ایپلیکیشن سیکیورٹی مخمصے کا شکار ہیں۔
تاہم، یہ ایک ناقابل حل مخمصہ نہیں ہے۔ اس حل کے لیے ایک مکمل سوئچ اپ کی ضرورت ہے جس طرح بہت سے لوگ کوڈنگ اور جدت کو دیکھتے ہیں، لوگوں کی ذہنیت پر خاص توجہ کے ساتھ۔ یہ سیکورٹی کو پہلے رکھتا ہے اور تسلیم کرتا ہے کہ اگر حتمی مصنوعات زیادہ محفوظ ہے تو مارکیٹ میں سست ہونا ٹھیک ہے۔ کے مطابق بوہم کا قانون, "کسی نقص کو تلاش کرنے اور اسے ٹھیک کرنے کی لاگت وقت کے ساتھ تیزی سے بڑھتی ہے" - ایک ایسا تصور جس سے ان تنظیموں کو فائدہ ہو سکتا ہے جو شروع سے ہی سیکورٹی کو ترجیح دیتی ہیں۔
اس سیکیورٹی فرسٹ مائنڈ سیٹ کو قائم کرنا انتہائی اہم ہے — نہ صرف ترقیاتی ٹیم کے لیے، بلکہ ہر اس شخص کے لیے جو SDLC کے اندر اپنا کردار ادا کرتا ہے۔ پروڈکٹ اور پراجیکٹ مینیجرز، DevOps، صارف کے تجربے (UX) ڈیزائنرز، اور کوالٹی ایشورنس (QA) پیشہ ور افراد حتمی نتیجہ پر اثر انداز ہوں گے اور اس لیے انہیں ایپلیکیشن سیکیورٹی کے لیے موجودہ مخمصے کو پہچاننے کی ضرورت ہے اور اس چیلنج پر کیسے قابو پایا جا سکتا ہے۔
مربوط تعلیم کا حق حاصل کرنا
اگر ٹیمیں نہ سمجھیں۔ کیوں ایپلیکیشن ڈویلپمنٹ کے اندر سیکیورٹی فرسٹ مائنڈ سیٹ بہت اہم ہے، وہ کبھی نہیں خریدیں گے۔ کس طرح یہ حاصل کیا جا سکتا ہے. پوری ڈیولپمنٹ آرگنائزیشن کے لیے مربوط اور مسلسل ایپلی کیشن سیکیورٹی ایجوکیشن اس سے زیادہ اہم کبھی نہیں رہی۔ کوڈ بنانے والوں کے لیے، یہ ضروری ہے کہ ہینڈ آن مشقوں سے پہلے بنیادی سیکھنے کی فراہمی کریں جو روزانہ کی بنیاد پر درپیش مسائل سے براہ راست بات کریں۔ یہ ڈویلپر مخصوص تعلیم بنیادی اور اعلی درجے کی ایپلی کیشن سیکیورٹی ٹریننگ پروگراموں کے ساتھ متوازی طور پر چلائی جانی چاہیے جو SDLC میں کردار ادا کرتے ہیں جن کے لیے ضروری نہیں کہ مہارت کی ضرورت ہو۔ اس قسم کے اقدامات پوری ٹیم کو مختلف طریقے سے سوچنے، زیادہ باخبر فیصلے کرنے، اور ترقی کے ہر پہلو میں سیکورٹی کو مربوط کرنے کا اختیار دیں گے۔
پھر بھی یہ ضروری ہے کہ تنظیمیں یہ سمجھیں کہ ایپلیکیشن سیکیورٹی مسلسل تیار ہوتی اور بدلتی رہتی ہے۔ ایک حفاظتی ذہن رکھنے والی ٹیم بنانا جو AppSec کے کلیدی اصولوں کو ترقیاتی سائیکل کے ہر قدم پر لاگو کرتی ہے اسے "ایک اور ہو گیا" تربیتی پروگرام سے مکمل نہیں کیا جا سکتا۔ اس بات کو یقینی بنانے کے لیے کہ ٹیمیں اس سیکیورٹی فرسٹ ذہنیت کو برقرار رکھیں، ایک مسلسل اور ترقی پذیر تعلیمی پروگرام کلیدی حیثیت رکھتا ہے۔
بہت سی تنظیمیں سیکیورٹی چیمپئنز کو تسلیم کرکے اور منا کر ٹیموں کو شامل کرتی ہیں، جو پوری ٹیم میں سیکیورٹی کے رویے میں تبدیلی کی قیادت کرتے ہیں۔ ان لوگوں کو مراعات یا انعامات کی پیشکش کر کے جو مسلسل اپنے روزمرہ کے کام میں سیکورٹی کے بہترین طریقوں کو لاگو کر رہے ہیں، وہ چیمپئنز کو دوسروں کو شامل کرنے اور تبدیلی کو باضابطہ طور پر متاثر کرنے کی ترغیب دیتے ہیں۔ مثال کے طور پر، نتائج کی پیمائش کرکے — جیسے کہ تربیتی پروگراموں سے پہلے اور بعد میں کوڈ میں موجود خطرات کی تعداد — اور کامیابی کو تسلیم کرتے ہوئے، بورڈ سے خریدنا اور فیصلہ سازوں کے لیے محفوظ کوڈنگ کی تعلیم پر سرمایہ کاری کا جواز پیش کرنا بھی بہت آسان ہے۔ .
تیزی سے اختراع کرنا اور مارکیٹ کے مقابلے کو شکست دینا اور سیکیورٹی کو بھی اولین ترجیح دینا تب ممکن ہے جب SDLC کے لوگ سیکیورٹی کو اولین ترجیح بنائیں۔ درحقیقت، جیسے جیسے خطرات کی تعداد میں اضافہ ہوتا ہے اور سائبر حملے سست ہونے کے کوئی آثار نہیں دکھاتے ہیں، کسی بھی ایپلیکیشن کے کامیاب ہونے کے لیے محفوظ طریقے سے کوڈنگ ضروری ہے۔ جب تک کہ پورے SDLC کو مسلسل، مرضی کے مطابق، اور قابل پیمائش تعلیمی اقدامات میں سمجھا جاتا ہے، سیکورٹی ہے بہتر ہونے سے پہلے خراب ہونے کے لیے۔
