Lập mô hình mối đe dọa là một phương tiện hiệu quả cao để bảo mật phần mềm và ứng dụng, tuy nhiên rất ít tổ chức thực sự làm điều đó. Tuy nhiên, trong môi trường điện toán và bảo mật ngày nay, việc lập mô hình mối đe dọa là cần thiết hơn bao giờ hết.
Các hệ thống phân tán dựa trên đám mây và các nhóm phát triển phần mềm linh hoạt, đa chức năng đã thay thế các hệ thống nguyên khối do các nhóm riêng lẻ xây dựng và vận hành. Dần dần, phần mềm đã trở nên phức tạp hơn nhiều — và các mối đe dọa cũng vậy. Các tác nhân đe dọa đã thay đổi chiến thuật để vượt qua các phương tiện phát hiện truyền thống. Ví dụ: nhiều cuộc tấn công không còn phát tán phần mềm độc hại nữa mà tập trung vào việc xâm phạm thông tin xác thực. Và những kẻ tấn công có thể ngồi trong mạng công ty trong nhiều tháng trước khi hành động. “của IBMChi phí của một báo cáo vi phạm dữ liệu” nhận thấy rằng các tổ chức phải mất trung bình 287 ngày để xác định và ngăn chặn vi phạm.
Các công ty nhận ra sự cần thiết. MỘT Nghiên cứu La bàn bảo mật năm 2021 nhận thấy rằng 79% doanh nghiệp vừa và lớn coi việc lập mô hình mối đe dọa là ưu tiên, nhưng chỉ 25% tiến hành lập mô hình trong giai đoạn thiết kế ban đầu. Và chỉ 10% thực hiện mô hình mối đe dọa trên 90% ứng dụng mà họ phát triển.
Là một ngành công nghiệp, chúng ta cần biến mô hình hóa mối đe dọa thành một phương pháp tiêu chuẩn trong phát triển phần mềm, được giới thiệu theo cách mà cả nhóm phát triển và bảo mật đều có thể làm việc cùng và được triển khai theo cách cho thấy kết quả tích cực và cải thiện theo thời gian. Và tất cả bắt đầu bằng một từ mà bạn có thể không nghe thấy nhiều trong giới IT và bảo mật: sự đồng cảm.
Thay đổi văn hóa
Có một số lý do dẫn đến sự mất kết nối giữa việc nhìn thấy giá trị trong mô hình mối đe dọa và thực sự thực hiện nó, bao gồm cả việc thiếu liên lạc giữa các nhóm phát triển và bảo mật cũng như xu hướng từ bỏ mô hình mối đe dọa nếu những nỗ lực ban đầu trở nên lộn xộn và không thực hiện được. tạo ra kết quả mong muốn.
Thông thường, các nhóm bảo mật có thể xem việc áp dụng các biện pháp kiểm soát bảo mật như một con đường một chiều giữa họ và các nhóm phát triển, đơn giản chỉ là vấn đề yêu cầu các nhà phát triển phải làm gì. Nhưng đó là sự khởi đầu sai lầm. Các tổ chức cần nhận ra rằng mỗi nhóm đều có những kỹ năng mà nhóm kia có thể học hỏi. Rốt cuộc, nếu bạn đặt một chuyên gia bảo mật vào khu vực dành cho nhà phát triển, họ sẽ bị mất.
Thay đổi suy nghĩ này đòi hỏi một sự thay đổi văn hóa, và nó bắt đầu bằng việc xem sự đồng cảm như một đề xuất giá trị. Khía cạnh con người của vấn đề này cần được đặt lên hàng đầu, thu hút nhiều người hơn tham gia vào việc làm giàu kiến thức của chúng ta. Đội an ninh cần phải đánh giá cao môi trường mà các nhà phát triển làm việc trong, chịu áp lực phát triển và cung cấp phần mềm nhanh chóng. Các nhóm nhà phát triển có thể giúp các nhóm bảo mật hiểu các khuôn khổ như vùng chứa và cách kiểm soát quyền truy cập, kiến thức có thể áp dụng cho các chính sách bảo mật.
Khi các nhóm cộng tác qua lại, họ đang học hỏi lẫn nhau. Sẽ mất thời gian để đạt được điểm đó. Nó có thể bắt đầu trong các cuộc họp hoặc quá trình tích hợp quy trình, có thể thực hiện một số lần thử và sai và cuối cùng chuyển sang tích hợp công cụ. Khi đạt đến mức độ trưởng thành mà mọi người đều có hiểu biết cơ bản về các lĩnh vực của nhau, họ có thể chuyển sang các cấp độ nâng cao hơn về lập mô hình mối đe dọa, chẳng hạn như lập mô hình cơ sở kiến thức và tạo biểu đồ các khái niệm ánh xạ với nhau.
Nhưng nó cần một quy trình ổn định, nếu không nó sẽ trở nên tốn kém và hỗn loạn, dẫn đến các vấn đề về con người lộn xộn.
3 bước để lập mô hình mối đe dọa tốt hơn
Có ba yếu tố chính để tạo ra bầu không khí hợp tác.
Huấn luyện: Điều này giúp các nhà phát triển hiểu được tầm quan trọng của việc lập mô hình mối đe dọa. Nó có thể bắt đầu bằng việc giới thiệu nhân viên mới. Bất kể nền tảng và chứng chỉ của họ như thế nào, đừng cho rằng họ biết cách xử lý vấn đề bảo mật tại công ty của bạn. Hãy chắc chắn rằng họ hiểu văn hóa.
SỰ HỢP TÁC: Văn hóa hợp tác và cộng tác bắt đầu từ sự lãnh đạo của công ty, với CISO có thái độ muốn phục vụ các nhóm. Việc này có thể mất thời gian nhưng cần được mô hình hóa ở cấp lãnh đạo.
Tích hợp: Các yếu tố hợp tác kết hợp với nhau để tạo ra sự tích hợp, đây là một quá trình liên tục. Mục tiêu không phải là sự hoàn hảo mà là cải thiện và phát triển theo thời gian.
Chìa khóa để làm cho phương pháp này hoạt động là áp dụng các số liệu, cụ thể bằng cách xem kết quả, chẳng hạn như “giảm bớt các lỗ hổng” - trái ngược với việc cố gắng đánh giá chi tiết về cách các cá nhân làm việc. Kết quả không phải là vấn đề của nhà phát triển hay bảo mật, đó là vấn đề của mọi người.
Theo kinh nghiệm của mình, tôi nhận thấy rằng sẽ rất hữu ích nếu có kế hoạch 30, 60 và 90 ngày rõ ràng, mô tả kết quả mong đợi ở từng giai đoạn. Các kế hoạch cần thể hiện sự tăng trưởng gia tăng và được thực hiện một cách hợp tác. Nếu những kết quả này cần được đo lường, nếu không bạn sẽ trôi dạt không mục đích.
Đồng cảm là chìa khóa
Là một cộng đồng bảo mật, trách nhiệm của chúng tôi là giúp các nhà phát triển nắm bắt mô hình mối đe dọa. Không phải chúng ta chống lại họ. Chúng ta cần khiến họ suy nghĩ về bảo mật và lập mô hình mối đe dọa, như một phần của phương pháp tích hợp phát triển theo thời gian.
Sự đồng cảm như một kỹ thuật quản lý có thể giúp tạo ra môi trường đó. Một số người có thể nghĩ rằng sự đồng cảm có nghĩa là không có trách nhiệm giải trình - rằng việc hiểu được quan điểm và suy nghĩ của ai đó có phần mềm mại - nhưng thực tế nó lại tạo ra kết quả ngược lại. Nó phát triển sự hợp tác mà chúng tôi rất cần.
