Trong bài phát biểu khai mạc năm 2022 Mũ đen hội nghị an ninh, Chris Krebs, cựu giám đốc an ninh mạng của Bộ Chứng khoán Nội địa, tuyên bố rằng an ninh sẽ trở nên tồi tệ hơn trước khi nó trở nên tốt hơn. Tại sao? Krebs nói rằng “phần mềm vẫn dễ bị tổn thương vì lợi ích của các sản phẩm không an toàn vượt xa những nhược điểm”. Thay vì đảm bảo tính bảo mật, trọng tâm trong suốt vòng đời phát triển phần mềm (SDLC) đang đánh bại sự cạnh tranh trên thị trường. Trên thực tế, sự đổi mới thường mâu thuẫn với bảo mật - cái trước được cho là có nhịp độ nhanh và hiệu quả, còn cái sau là rào cản cản trở sự phát triển ứng dụng chuyển động nhanh. Quan điểm này đang tỏ ra lỗi thời trong bối cảnh mối đe dọa hiện tại.
Với các cuộc tấn công mạng đang gia tăng, chuỗi cung ứng phần mềm là mục tiêu phổ biến của tội phạm mạng, những kẻ nhận ra sự gián đoạn lớn mà chúng gây ra khi lây nhiễm mã không an toàn. Ví dụ, bây giờ khét tiếng Nhật ký4Shell lỗ hổng bảo mật gây ra rủi ro như vậy vì mã nguồn mở Log4j rất được sử dụng phổ biến trên các ứng dụng phần mềm và dịch vụ trực tuyến trên toàn thế giới và việc khai thác lỗ hổng đòi hỏi rất ít kiến thức chuyên môn. Gần đây hơn, 25,000 plug-in độc hại được tìm thấy trên các trang web WordPress nêu bật rủi ro an ninh mạng mà nhiều doanh nghiệp phải đối mặt, mặc dù họ tin rằng họ đang sử dụng các ứng dụng và chương trình an toàn trong trang web của họ.
Do đó, đổi mới và bảo mật phải được nhìn qua một lăng kính duy nhất; không thể có cái này nếu không có cái kia. Thậm chí quan trọng hơn, an ninh không còn là trách nhiệm của riêng một đội nữa. Nó phải là một ưu tiên cho tất cả mọi người trên SDLC.
Thế tiến thoái lưỡng nan của AppSec
Mặc dù đã tăng cường đầu tư vào phát triển ứng dụng nhưng tầm quan trọng tương tự lại không được áp dụng cho vấn đề bảo mật. Trong một không gian cạnh tranh như vậy, những người đi đầu có xu hướng nhận được phần thưởng. Những người tham gia thị trường với “sản phẩm khả thi đầu tiên” của họ có thể đang xem xét cách sản phẩm này có thể phục vụ khách hàng chứ không phải cách sử dụng nó một cách an toàn. Với những kỳ vọng cao này, nhu cầu về mã đối với các nhà phát triển đã tăng lên 100 lần trong 10 năm qua, với 92% cảm thấy bị áp lực phải viết mã nhanh hơn. Ghép nối điều này với thực tế rằng 53% không được đào tạo về mã hóa an toàn chuyên nghiệp, trong khi số lượng lỗ hổng bảo mật mới trong NIST Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia đã tăng hơn 200% trong vài năm qua và có vẻ như chúng ta đang ở trong tình thế tiến thoái lưỡng nan về bảo mật ứng dụng.
Tuy nhiên, đó không phải là một vấn đề nan giải không thể giải quyết được. Giải pháp này đòi hỏi phải thay đổi hoàn toàn cách nhìn của nhiều người về mã hóa và đổi mới, đặc biệt tập trung vào tư duy của mọi người. Nó đặt tính bảo mật lên hàng đầu và nhận ra rằng việc tiếp thị chậm hơn là điều bình thường nếu sản phẩm cuối cùng an toàn hơn. Dựa theo định luật Boehm, “chi phí tìm kiếm và sửa lỗi tăng theo cấp số nhân” — một khái niệm có thể mang lại lợi ích cho những tổ chức ưu tiên bảo mật ngay từ đầu.
Thiết lập tư duy ưu tiên bảo mật này là rất quan trọng - không chỉ đối với nhóm phát triển mà còn đối với tất cả những người đóng vai trò trong SDLC. Các nhà quản lý sản phẩm và dự án, DevOps, nhà thiết kế trải nghiệm người dùng (UX) và các chuyên gia đảm bảo chất lượng (QA) đều sẽ ảnh hưởng đến kết quả cuối cùng và do đó cần phải nhận ra tình thế khó xử hiện tại đối với bảo mật ứng dụng và cách khắc phục thách thức này.
Nhận được Giáo dục Tích hợp Đúng
Nếu các đội không hiểu tại sao tư duy ưu tiên bảo mật rất quan trọng trong quá trình phát triển ứng dụng, họ sẽ không bao giờ mua làm thế nào nó có thể đạt được. Do đó, giáo dục bảo mật ứng dụng tích hợp và liên tục cho toàn bộ tổ chức phát triển do đó chưa bao giờ quan trọng hơn thế. Đối với những người tạo mã, điều quan trọng là phải cung cấp kiến thức cơ bản trước khi thực hành các bài tập nói trực tiếp vào các vấn đề họ phải đối mặt hàng ngày. Chương trình giáo dục dành riêng cho nhà phát triển này nên được chạy song song với các chương trình đào tạo về bảo mật ứng dụng cơ bản và nâng cao cho những người có vai trò trong SDLC có thể không nhất thiết cần chuyên môn thực hành. Những loại sáng kiến này sẽ trao quyền cho cả nhóm suy nghĩ khác biệt, đưa ra quyết định sáng suốt hơn và tích hợp bảo mật trên mọi khía cạnh của sự phát triển.
Tuy nhiên, điều quan trọng là các tổ chức phải hiểu rằng bảo mật ứng dụng không ngừng phát triển và thay đổi. Không thể hoàn thành việc xây dựng một nhóm quan tâm đến bảo mật, những người áp dụng các nguyên tắc chính của AppSec ở mọi bước của chu trình phát triển bằng chương trình đào tạo “một lần là xong”. Để đảm bảo các nhóm duy trì tư duy ưu tiên bảo mật này, chìa khóa là một chương trình giáo dục liên tục và phát triển.
Nhiều tổ chức gắn kết các đội bằng cách công nhận và tôn vinh các nhà vô địch bảo mật, những người dẫn đầu sự thay đổi hành vi an ninh trong toàn đội. Bằng cách cung cấp các ưu đãi hoặc phần thưởng cho những người thường xuyên áp dụng các phương pháp bảo mật tốt nhất trong công việc hàng ngày của họ, họ khuyến khích các nhà vô địch thu hút người khác và tác động một cách hữu cơ đến sự thay đổi. Ví dụ: bằng cách đo lường kết quả - như số lỗ hổng trong mã trước và sau các chương trình đào tạo - và công nhận thành công, việc thu hút sự chú ý từ hội đồng quản trị và biện minh cho việc đầu tư vào giáo dục mã hóa an toàn cho những người ra quyết định cũng dễ dàng hơn nhiều. .
Có thể đổi mới nhanh chóng và đánh bại đối thủ cạnh tranh trên thị trường đồng thời đặt vấn đề bảo mật lên hàng đầu khi những người của SDLC coi bảo mật là ưu tiên hàng đầu. Trên thực tế, khi số lượng lỗ hổng ngày càng tăng và các cuộc tấn công mạng không có dấu hiệu chậm lại, mã hóa an toàn là điều bắt buộc để bất kỳ ứng dụng nào thành công. Miễn là toàn bộ SDLC được xem xét trong các sáng kiến giáo dục liên tục, riêng biệt và có thể đo lường được, thì an ninh không có để trở nên tồi tệ hơn trước khi nó trở nên tốt hơn.
