
پل سانتاپائو، مدیر ارشد فناوری پلتفرم مدلسازی تهدیدات سایبری مینویسد، رفع مشکل امنیتی نرمافزار نیازمند یک تغییر فرهنگی C-suite است. IriusRisk.
همانطور که چشم انداز تهدیدات سایبری در حال تکامل است، نیاز به امنیت نرم افزاری یکپارچه و جامع و حفاظت از داده ها بیش از هر زمان دیگری ضروری است. امنیت اغلب به عنوان یک فکر بعدی توسط توسعه دهندگان در نظر گرفته می شود – محصولات، خدمات و داده های با ارزش بالا در بخش عمومی و خصوصی در برابر نقض آسیب پذیر می شوند.
در حالی که اخیرا گارتنر مطالعه نشان داد که 88 درصد از مدیران C-suite در حال حاضر امنیت سایبری را به عنوان یک خطر تجاری می بینند، یک تغییر فرهنگی هنوز لازم است تا اطمینان حاصل شود که شیوه های امنیتی در مسیر رشد کسب و کار از بین نمی روند.
به زبان ساده، امنیت نرم افزار در مورد کاهش ریسک و محافظت از سیستم های نرم افزاری در برابر آسیب پذیری ها است. همانطور که شرکتها رشد میکنند و پلتفرمهای خود را افزایش میدهند، اطمینان از ایمن بودن نرمافزار بسیار مهم است. کیفیت نرمافزاری که کسبوکارها ایجاد میکنند تنها زمانی ارزشمند است که آسیبپذیریها در اوایل چرخه عمر توسعه نرمافزار (SDLC) برطرف شوند. در غیر این صورت، داده های حساس در معرض خطر قرار می گیرند که به نوبه خود می تواند منجر به زیان های مالی شود.
‘قطع اتصال DevSec’
پدیده ای مربوط به قطع ارتباط بین تیم های امنیتی و تیم های توسعه دهنده وجود دارد که “قطع اتصال DevSec” ابداع شده است. «قطع ارتباط» عمدتاً به این دلیل است که توسعهدهندگان نرمافزار پیشبرنده مرز حلکننده مشکل هستند، که میتواند باعث ایجاد اصطکاک با تیمهای امنیتی شود که اغلب از خطر کردن بیزارند.
شیوههای امنیتی اغلب بهعنوان مسدودکننده در جهت نوآوری توسعهدهندگان در نظر گرفته میشوند که تقریباً نیمی از روز کاری یک توسعهدهنده صرف نگهداری از زیرساختهای سازگار (ایمن) میشود. روشهای امنیتی تاریخی، مانند مدلسازی دستی تهدید، توسط تیمهای توسعهدهنده به عنوان یک مانع در هنگام ایجاد برنامههای کاربردی پیچیده دیده میشود. «قطع ارتباط» با این واقعیت تشدید میشود که نیمی از متخصصان امنیتی تلاش میکنند تا توسعهدهندگان را وادار کنند تا اصلاح آسیبپذیریها را در اولویت قرار دهند.
این «قطع ارتباط» زمانی تقویت میشود که رهبری C-suite به جای انتشار برنامههای ایمن، استراتژی «مسابقه با بازار» را در اولویت قرار دهد. توسعه دهندگان برای ساخت برنامه های کاربردی غنی و مبتنی بر ویژگی در بازه های زمانی کوتاه با فشار فزاینده ای مواجه هستند. این منجر به نبرد برنامه ها می شود – افزایش تهدیدات امنیتی علیه رقابت پذیری بازار.
در حالی که توسعهدهندگان معمولاً میدانند که ساخت کد قوی و ایمن پیشنیاز این کار است، انتظارات فرهنگی از C-suite به این معنی است که اغلب باید کد را با سرعت سرسامآور تولید کنند. این می تواند منجر به ایجاد شکاف آسیب پذیری شود زیرا امنیت در مبادله سهم بازار از بین می رود.
راه حل هایی از بالا
با افزایش فعالیتهای مجرمانه مرتبط با سایبری، نیاز به افسران ارشد امنیت اطلاعات (CISO) برای داشتن یک صندلی در میز C-suite افزایش مییابد. در حالی که CISO ها مزایای تعبیه اقدامات امنیتی را در اوایل SDLC درک می کنند، مشکلات زمانی به وجود می آیند که این در رویه های داخلی سازمان منعکس نشود. یک تغییر فرهنگی در C-suite برای رفع مشکل امنیتی نرم افزار مورد نیاز است. رهبری نیاز به ارزیابی مجدد معیارهایی دارد که برای تیمهای توسعهدهنده اعمال میکنند. به جای ارزش گذاری کمیت خروجی، تمرکز باید روی کیفیت کد باشد.
یک مثال عالی از این که چگونه C-suite می تواند رویکرد خود را به تیم های توسعه دهنده مجددا ارزیابی کند، رویکرد “جاده سنگفرش” نتفلیکس است. این مجموعه ای از انتظارات و تعهدات بین کسب و کار متمرکز و مهندسان نرم افزار آنها است. تیم پلتفرم نتفلیکس به عنوان یک سرویس، با ارائه اجزای استاندارد و سازگار، یک پلت فرم از پیش مونتاژ و اتوماسیون و ابزار گسترده، یک پلتفرم “جاده سنگفرش” قابل تنظیم و قابل تنظیم را برای توسعه دهندگان فراهم می کند. نتفلیکس ادعا می کند که این به سازمان کمک می کند تا به اهداف “سرعت و قابلیت اطمینان” خود دست یابد. “جاده سنگفرش” همکاری بیشتر در کسب و کار را تضمین می کند و مسئولیت مشترک امنیت را توسط همه تیم ها تضمین می کند.
اگر فقط چکش داشته باشید همه چیز شبیه میخ است
اگر قرار است این تغییر فرهنگی ریشه دوانده باشد، ابزارهای امنیتی موجود باید کمک کننده باشند نه مانع. آنها باید به گونه ای ساخته شوند که با فرآیندهای موجود ادغام شوند و به زبان توسعه دهندگان صحبت کنند.
به همین دلیل است که مؤثرترین راه برای اطمینان از امنیت نرم افزار، امنیت «شروع چپ» است. شروع به سمت چپ به سادگی به معنای معرفی امنیت در مراحل ابتدایی SDLC است و هنگامی که با DevSecOps (مانند مدلسازی تهدید) ترکیب میشود، بررسیهایی را در هر مرحله توسعه به کار میگیرد تا اطمینان حاصل شود که برنامه قبل از انتشار برای کاربران نهایی کاملاً ایمن است. نتیجه این است که تیم های توسعه مسئولیت بیشتری در قبال امنیت کد خود دارند و در نهایت هزینه کل تحویل نرم افزار امن کاهش می یابد. خروجی برنامه نویس نیز ممکن است به دلیل اطمینان بیشتر در امنیت طراحی نرم افزار افزایش یابد.
روشهای امنیتی زمانی موفق هستند که خرید از بالا به پایین وجود داشته باشد. همانطور که تهدیدات سایبری به تکامل و بلوغ خود ادامه می دهند، بیش از هر زمان دیگری ضروری است که امنیت نرم افزار را در کل SDLC یکپارچه کنیم. تغییر فرهنگ شرکت به سمت یک محیط امنیتی مشارکتی تر به این معنی است که امنیت به یک فکر بعدی تبدیل نمی شود، بلکه فرآیندی است که از بالا آغاز شده و به تیم های توسعه دهنده منتقل می شود. سود نهایی این است که سازمانها نرمافزار امنتری را طراحی و منتشر میکنند.
منبع: https://www.professionalsecurity.co.uk/products/cyber/value-of-a-cultural-shift/