Yazılım kusurlarından elde edilen güvenlik olayları meydana geldiğinde, retrospektifler genellikle birkaç yüz çizgi kod (veya daha az) şeklinde kahramanca iyileştirme hikayesini anlatır, ancak maksimum organizasyonel bozulma: Eleck-on-Ele-Hands kök neden araştırmalar ve yöneticiler 24/ 7 Fallout’u kontrol etmek için.
Bu gerçeklik, geliştirme sürecinin başlarında statik uygulama güvenlik testi (SASS) ve yazılım kompozisyon analizi (SCA) gibi güvenlik testlerini entegre eden proaktif bir yaklaşım olan “vardiya-sol” güvenliğin benimsenmesinin arkasındaki ana itici güç olmuştur.
Yazılım Geliştirme Yaşam Döngüsü’nde (SDLC) ortak yapım öncesi güvenlik kontrolleri.
Güvenlik açıklarını, yapım, test, serbest bırakma ve dağıtıma ulaşmadan önce güvenlik açıklarını yakalamak ve düzeltmek – onlar bile var olmadan önce haklı çıkarmak kolay görünüyor, değil mi?
Bundan daha karmaşık olduğu ortaya çıkıyor:
- Yatırım Getirisi (YG) argümanları spekülasyon ve korkuya dayanır: kaçınarak maliyet tasarrufu beklenmedik kayıplar.
- İş öncelikleri genellikle gelir getirici faaliyetlere odaklanır. Bir şirket zaten son teslim tarihlerinde geride kaldığında iş akışlarını önlemek için ekstra adım ekleme olasılığı yutmak için zor bir hap.
- #1’i kanıtlamak zor, #2’yi kanıtlamak çok kolay.
Burada, güvenlik liderleri kendilerini çok tanıdık bir paradoksta bulurlar: eğer bir ons önleme bir kiloluk tedaviye değerse, kanıtlamak nasıl bu kadar zor?
Güvenlik yatırımının getirisini yeniden düşünmek
Güvenlik yatırımı için bir “geri dönüş”, güvenlik yatırımı için haklı mı? Bir organizasyonun siber suçluları ne kadar iyi terk ettiklerini nasıl ölçebiliriz? Mali yıl planlamasının bir parçası olarak beklenen veri ihlalleri için kaç kuruluş bütçesi?
Siber suçlu faaliyet, iş operasyonlarında öngörülebilir bir değişken değildir, ancak risk azaltmadır. Yatırım karar verme için daha doğru bir çerçeve, azaltma getirisi (ROM)-ihlalleri, düzenleme cezalarını ve itibar hasarını önlemenin finansal etkisidir.
ROM modelini kullanarak iş etkisini tahmin edebiliriz. ön saldırı hafifletme. Ekibinizin rutin test sırasında yüksek şiddetli bir SQL enjeksiyon güvenlik açığı yakaladığını hayal edin. Bir veri ihlalinin 5,45 milyon dolarlık ortalama maliyetine, yüksek ciddiyetine ve sömürü olasılığına (%5.5) dayanarak, tahmini hafifletilmiş kayıplar yaklaşık 149.875 $ ‘dır.
Daha fazla bilgi için, güvenlik yatırımlarınızın ne kadar finansal hasar verdiğini görmek için HackerOne’un ROM hesap makinesine göz atın.
Gerçek maliyet boşluğu
Yatırım gerekçesinde bir diğer önemli faktör, iyileştirme maliyeti arasındaki delta önceden-üretim Vs. postalamak-üretme.
Bir güvenlik açığı üretime yakalandığında, kodu düzeltmek hem güvenlik hem de mühendislik ekiplerinden zaman ve çalışma gerektiren kaynak yoğun bir süreçtir. Güvenlik açığı nasıl mümkündür? Oraya nasıl ve ne zaman vardı? Varsa hangi geliştirme ekibi uygulama üzerinde çalışıyor? Güvenlik açığı raporunu üzerinde çalışan geliştiricilere gönderirsek, nasıl düzeltileceğini biliyorlar mı? Güvenlik açığı çalışmasını düzeltmek için #1 girişimde bulunacak mı? Peki ya #2?
CISQ’dan aşağıdaki görüntü, pratikte nasıl oynandığına dair iyi bir görsel sunar: deneme ve hata geri bildirim döngüsü.
Dolar işaretleri, çoğu çaba/maliyetin nerede yoğunlaştığını gösterir.
Hackerone’de medyan çözünürlüklü bir yaşam döngüsü görüyoruz 34 gün Penetrasyon testlerine bildirilen güvenlik açıkları için.
Bir yama, sadece birkaç satır kod için bir güncelleme içerdiğinde bile, Ne Kod çizgileri samanlıkta bir iğne aramak gibi olabilir. Üretimde keşfedilen güvenlik açıklarının sabitlenmesi, geliştirme sırasında bunları bulmak ve düzeltmekten yaklaşık 30 kat daha pahalıdır.
Kaynak: NIST: Yazılım testi için yetersiz altyapının ekonomik etkileri
Kodlama/birim testinde bir güvenlik açığını düzeltmek daha uygun maliyetlidir, çünkü bağlam derhal bilinir ve kod değişikliğini yazmaya dahil olan karmaşıklıklar zaten çözülmüştür (örneğin, mevcut teknik borcun “çalışmasını sağlamak” için gezinmesi). Bir geliştirici düzeltmek için bir güvenlik açığı raporu ile görevlendirildiğinde, bu çalışmayı tekrarlamak için planlanmamış bir döngü oluşturur. Tüm bağlam ve teknik borç navigasyonunun yeniden öğrenilmesi gerekir. Başka bir deyişle, kod yamaları – sadece birkaç değişen kod satırına sahip olanlar bile – göründüklerinden çok daha uzun çekin.
Bu ne kadar büyük bir sorun? Sadece mühendislik ekibinize sorun. Geliştiriciler, mevcut kod tabanlarında değişiklik yapmak için en büyük engel olan ve sadece ABD’de 1.52T $ ‘lık ekonomik etkisi olan teknik borçlarla uğraşarak haftada 13.5 saat harcıyorlar.
Geliştirme ekiplerinin çoğunluğunun zaten iş akışlarında yerleşik bir kalite güvence aşaması var: isteği inceleme ve onay. Çoğu geliştirme ekibi için, önerilen değişiklikler bu aşamada 47-50 saat boyunca kalır, bu sırada kusurlar birleştirmeden önce yakalanır ve sabitlenir. Bu aşamada, geliştiriciler akran incelemesi ve otomatik araçlar yardımıyla 1.000 satır kod başına yaklaşık 3.4-4.7 kusur yakalayıp düzeltin.¹ Bu mevcut geliştirme uygulamaları, düşünceli bir şekilde yürütülürse kaçınan invaziv olmayan bir güvenlik politikası için bir fırsat sunmaktadır. Geliştirme çabasının çoğaltılması ve hız üzerinde minimal etki. İdeal olarak, hiçbiri.
Üretimde yakalanan bir SQL enjeksiyon güvenlik açığı örneğimizi yeniden ziyaret ederek, temel nedenin, değerleri düzgün bir şekilde kaçacak parametrelendirilmiş bir sorgu yerine bir JavaScript şablon dizesinin kullanıldığı bir uygulama olduğunu varsayalım. Kodu yazan geliştirici, bir çekme isteği incelemesinde doğru rehberlikle bilgilendirilirse, bunları ele almak 30 dakika sürerdi. Post prodüksiyon testinde yakalandı, belki de aylar sonra, 15 saatlik triyaj, sorun giderme, uygulama güvenliği terminolojisini yazılım mühendisliği terminolojisine vb. Çevirmesini bekleyin.
Maliyet etkisinin belirlenmesi, bilinen operasyonel giderlere göre daha doğrudan ölçülebilir ve kuruluşlar arasında değişebilir. Bu örnek için, maliyetin saatte 100 $ olduğunu varsayalım.
Post prodüksiyon iyileştirmesi: 1.500 $
Üretim öncesi iyileştirme: 50 $
Toplam operasyonel maliyet tasarrufu: 1.450 $
Bu, hafifletme iadesine eklendiğinde (149.875 $) genel finansal etki 151.325 dolara getirir. Veya, 3.027 kat daha ucuz. “Bir ons koruma bir kiloluk tedaviye değer” bir eksiklik olabilir.
Çözüm
İster üretim öncesi veya prodüksiyon sonrası yakalanmış olsun, siber suçlulardan önce güvenlik açıklarını yakalamak ve sabitlemek onları kullanabilmeden önce muazzam kayıpları önler. İş değerinin tahmin edilmesi en iyi şekilde, azaltma (ROM) çerçevesi getirisi kullanılarak elde edilir. Üretim öncesi kod güvenliğindeki katkı iş değeri önemli ölçüde daha düşük iyileştirme maliyetlerinden kaynaklanmaktadır.
Metrik tabanlı hedefler için bir “vardiya-sol” güvenlik programının başarısını belirlemek için tek bedene uyan bir metodoloji yoktur, ancak başlamak için iyi bir yer, 12 ay boyunca makul bir “önleme ile alınan gerçek olumlu raporların hacmidir. ”Oran tahmini (yani, hedef CWE kategorileri ile eşleşen% 40 daha az yeni gerçek pozitif rapor bekliyor).
Hackerone geliştiriciler için güvenliği nasıl yeniden keşfediyor
Geliştirmede güvenlik için açık bir yatırım gerekçesi olsa da, “sol-sol” çabaları genellikle geri tepme, geliştiriciler için hayal kırıklığı, mühendislik ve güvenlik arasında sağlıksız bir ilişki ve hız üzerindeki aşırı katı sürtünme inhibitörleri yaratıyor. Hackerone, “vardiya-sol” güvenliğin neden çalışmadığını anlama ve bunu doğru alan metodolojiye dayalı bir çözüm oluşturma görevinde.
HackerOne Pullrequest, kod güvenliğine yönelik gerçek, geliştirici ilk bir yaklaşımdır. AI’yi uzman insan manuel kodu incelemesiyle birleştiriyoruz. Doğrudan geliştiricilerin mevcut iş akışına gömülü çıktı – iyileştirme kılavuzu – güvenli kod yazmalarını ve zaten kullandıkları araçlarda güvenlik risklerini proaktif olarak ele almalarını sağlar. %96’nın üzerinde bir geliştirici memnuniyeti oranı ile Hackerone Pullrequest, eyleme geçirilebilir, hızlı ve kendi kendine öğrenilmiş olduğu için geliştirme ekipleri tarafından güvenilir.
¹ Kaynak: hackerone pullrequest Ölçüt Küçük, orta ölçekli ve büyük geliştirme ekibi büyüklüğü kohortlarını kapsayan 3.000 kuruluş ve 115.000 depo örneği.