10 lỗ hổng phần mềm tương tự đã gây ra nhiều vi phạm bảo mật hơn trong hơn 20 năm qua so với bất kỳ lỗ hổng nào khác. Tuy nhiên, nhiều doanh nghiệp vẫn chọn biện pháp khắc phục hậu vi phạm, sau sự kiện, xáo trộn thông qua sự phân chia của con người và doanh nghiệp của tất cả. Nhưng bây giờ, một nghiên cứu mới chỉ ra một hướng đi mới, do con người dẫn dắt.
Phần dưới đây thảo luận về những hiểu biết sâu sắc có được từ một nghiên cứu do Secure Code Warrior thực hiện với Evans Data Corp có tiêu đề ‘Chuyển từ phản ứng sang phòng ngừa: Bộ mặt thay đổi của bảo mật ứng dụng’ (2021) khám phá thái độ của các nhà phát triển đối với mã hóa an toàn, thực hành mã an toàn và hoạt động bảo mật. Đọc báo cáo.
Trong nghiên cứu, các nhà phát triển và quản lý phát triển đã được hỏi về các phương pháp mã hóa an toàn phổ biến của họ. Ba phương pháp hàng đầu được đánh dấu là:
- Quét các ứng dụng để tìm các điểm bất thường hoặc lỗ hổng sau khi chúng được triển khai
- Xem xét kỹ lưỡng mã viết để kiểm tra các điểm bất thường hoặc lỗ hổng bảo mật
- Việc sử dụng lại mã đã được phê duyệt trước được biết là an toàn
Các nhà phát triển vẫn xem các thực hành mã an toàn như một thực tiễn phản ứng nhưng dần dần thừa nhận nó là một vấn đề của con người với trọng tâm là bắt đầu từ bên trái.
Vậy điều này cho chúng ta biết điều gì? Hai trong số ba phản hồi hàng đầu vẫn tập trung vào các phương pháp tiếp cận phản ứng, câu trả lời đầu tiên phụ thuộc vào công cụ (máy quét) và câu trả lời thứ hai vào nhà phát triển (tức là con người) thực hiện kiểm tra thủ công – trong cả hai trường hợp sau khi mã được viết. Các lỗ hổng được phát hiện bằng cách sử dụng các phương pháp này phải được gửi lại cho nhóm phát triển để làm lại với các tác động trực tiếp đến tiến độ dự án và chi phí dự án.
Trong khi # 3 thừa nhận lợi ích của việc chủ động viết phần mềm được bảo vệ khỏi lỗ hổng bảo mật ngay từ đầu. Điều này làm nổi bật sự chuyển hướng sang bắt đầu từ bên trái – một cách tiếp cận chủ động và phòng ngừa đưa bảo mật vào phần mềm ngay từ khi bắt đầu vòng đời phát triển phần mềm.
Reactive bằng EXPENSIVE
Theo một nghiên cứu của IBM *, việc sửa các lỗ hổng trong mã sau khi phát hành đắt gấp ba mươi lần so với việc chúng được tìm thấy và khắc phục ngay từ đầu. Đó là một động lực mạnh mẽ cho một cách tiếp cận mới chủ động và nhân văn hơn để bảo vệ an ninh phần mềm trang bị cho các nhà phát triển mã an toàn hơn, ngay từ đầu.
Đây là những gì bạn có thể gọi là phòng thủ do con người chỉ huy. Nhưng để các nhà phát triển bắt đầu quan tâm đến bảo mật, nó phải trở thành một phần của cách họ suy nghĩ và viết mã hàng ngày. Đây là lời kêu gọi về các cách tiếp cận mới để đào tạo siêu liên quan đến công việc hàng ngày của các nhà phát triển và truyền cảm hứng cho họ muốn học hỏi – cả hai điều này đều không thể nói về các mô hình đào tạo hiện tại.
Để tạo ra một nền văn hóa bảo mật chủ động, cần phải đào tạo mới:
- làm cho mã hóa an toàn trở thành một trải nghiệm tích cực và hấp dẫn cho các nhà phát triển khi họ nâng cao kỹ năng bảo mật phần mềm của mình
- khuyến khích các nhà phát triển xem các nhiệm vụ viết mã hàng ngày của họ thông qua tư duy bảo mật
- làm cho mã hóa an toàn trở thành nội tại cho quy trình làm việc hàng ngày của họ
Khi các luồng này kết hợp với nhau, các lỗ hổng bảo mật sẽ được ngăn chặn xuất hiện ngay từ đầu, cho phép các nhóm gửi mã chất lượng nhanh hơn, một cách tự tin. Đọc toàn bộ báo cáo để khám phá bộ mặt đang thay đổi của bảo mật phần mềm với các phân tích và khuyến nghị về cách các tổ chức có thể ngăn chặn các lỗ hổng lặp lại xảy ra và trải nghiệm sự thay đổi tích cực trong văn hóa bảo mật xuyên suốt SDLC. Tìm hiểu cách:
- Đảm bảo tính bảo mật được xem xét ngay từ đầu SDLC
- Thực hiện phương pháp tiếp cận do con người dẫn dắt để mã hóa an toàn
- Đánh dấu các phương pháp mã hóa kém thành tốt
