Kuruluşlar neden uygulama güvenliği eğitimine entegre ve sürekli bir yaklaşım benimsemelidir?
Yazan: Amy Baker, Güvenlik Eğitimi Evanjelisti, Security Journey
Yazılım tedarik zinciri artan bir tehdit altındadır. Kuruluşların yaklaşık yarısının 2025 yılına kadar en az bir yazılım tedarik zinciri saldırısı yaşayacağı tahmin edildiğinden, geliştiriciler ve AppSec ekipleri ortalığı kasıp kavurabilecek siber suçlular için giderek daha popüler bir hedef haline geliyor. Özellikle iyi bilinen ve kolayca düzeltilebilen güvenlik açıklarından yararlandıklarında. Örneğin, artık rezil olan ‘Log4Shell’ güvenlik açığı, dünyanın en yaygın kullanılan uygulamalarından ve hizmetlerinden bazılarını saldırıya açık bıraktı ve bildirildiğine göre ‘internete yıllarca musallat olacak’. Daha yakın zamanlarda, OpenSSL güvenlik açığı, aynı zamanda en yaygın kodlama sorunlarından biri olmasına ve düzeltmesi kolay olmasına (arabellek taşması) rağmen ciddi bir güvenlik hatası olma tehdidi oluşturduğunda kaosa neden oldu.
Bu güvenlik açıkları, bilgisayar korsanlarının kullanıcıların cihazlarının tüm kontrolünü ele geçirmesine olanak tanıyan son Apple zayıflıklarının da gösterdiği gibi, hem işletmeleri hem de tüketicileri etkiliyor. Güvenliğe öncelik vermenin zamanı geldi, ancak bunu yapmak güvenli kodlama eğitimi için özveri gerektirecektir.
Güvenli olmayan yazılımlar hala ödüllendiriliyor
Yazılım tedarik zincirinin güvenlik tehditlerine karşı savunmasız kalmasının bir nedeni, güvenli olmayan yazılımları etkin bir şekilde ödüllendirmeye devam etmesidir. Black Hat 2022’nin açılış konuşmasında Chris Krebs, güvenliğin ancak daha iyiye gitmeden önce daha da kötüleşmeye devam edeceğini, çünkü güvensiz yazılımın yararlarının olumsuzluklardan çok daha ağır bastığını belirtti. Başka bir deyişle, yazılım geliştirme yaşam döngüsü (SDLC) içinde kuruluşlar, pazara ilk giren olmaya öncelik verir. Bu hedef, genellikle üretkenliğin önünde bir engel olarak gösterilen güvenlikle çelişir; CISO’ların %71’i, DevOps paydaşlarının güvenliği hızlı geliştirmenin önünde bir engel olarak gördüklerini iddia ediyor. Bu, pazara giriş hızı adına güvenliğin feda edilmesiyle sonuçlanır ve olumsuzlukları genellikle çok geç olana kadar tam olarak fark edilmez.
AppSec İkilemi
Ürünleri hızlı bir şekilde oluşturup pazara sürmeye yönelik bu baskı, yazılımı geliştirenler üzerinde büyük beklentiler oluşturuyor. Ve bu sadece artıyor. Geliştiricilerin %51’i on yıl öncesine göre 100 kat daha fazla kodla uğraşıyor. Ve neredeyse Tümü geliştiriciler (%92) eskisinden daha hızlı kod yazmaları gerektiğini düşünüyor.
Uygulama güvenliğinin mülkiyeti, aşırı gerilmiş bir ekip için bir sorun haline gelir ve genellikle başka birinin sorumluluğu olarak görülür – AppSec, güvenlik veya BT uzmanları. Yine de uygulama güvenliği, bir kurum genelinde çeşitli yerlerde bulunur. Bu nedenle, yönetim ekibi veya yönetim kurulu, güvenli kodlama eğitiminin değerine inanmalıdır. Liderler, önce güvenlik zihniyetinin herkes SDLC içinde. Ürün ve proje yöneticileri, DevOps, Kullanıcı Deneyimi (UX) Tasarımcıları ve Kalite Güvencesi (QA) uzmanları, yazılım geliştirmede nihai sonucu etkiler ve bu nedenle güvenlikte rol oynamaları gerekir. Bu sorumluluğu paylaşmak, güvenli kodlamanın unutulmamasını sağlamanın ilk adımıdır.
Ayrıca, yenilik ve güvenlik birbirini dışlamak zorunda değildir ve onlara bu şekilde davranmak, muhtemelen yeni güvenlik açıklarının sayısının artmaya devam etmesinin nedenidir. Neredeyse her zaman tesadüfi olsa da, bu güvenlik kusurları ve uygun güvenli kodlama eğitiminin olmaması, geliştiricileri kötü niyetli olmayan içeriden tehditlere dönüştürebilir. Bu güvensiz kod aynı zamanda son derece maliyetli olabilir; Boehm yasasına göre, “bir kusuru bulma ve düzeltmenin maliyeti zamanla katlanarak artıyor.” Bu nedenle, reaktif hafifletme yerine proaktif önleme yatırım yapmak, güvenlik ve bir kuruluşun kârlılığı açısından kuruluşlar için en verimli çözümdür.
Sürekli ve programlı eğitim
Şaşırtıcı bir şekilde, geliştiricilerin %53’ünün profesyonel, güvenli kodlama eğitimi yok ve ABD’deki en iyi 50 lisans bilgisayar bilimi programından hiçbiri kod veya uygulama güvenliği kursu gerektirmiyor. Dünya çapındaki iş gücünün siber güvenlik becerilerindeki boşluğu doldurmaya çalıştığı bir ortamda, kuruluşların tüm SDLC’de uygulama güvenliği eğitimine entegre ve sürekli bir yaklaşım araması hayati önem taşıyor. Bu olmalı:
Kod dağıtımına dahil olanlar için, eğitimin günlük olarak karşılaştıkları sorunlara doğrudan değinmesi çok önemlidir. Gelişmiş, geliştiriciye özel eğitim, SDLC’de uygulamalı uzmanlığa ihtiyaç duymayabilecek rolleri olanlar için temel uygulama güvenliği eğitim programlarıyla paralel olarak yürütülmelidir. Bu girişimler, tüm ekibi, güvenliği geliştirmenin her yönüne entegre etmek için tehdit modelleme, uygulama tasarımı ve yazılım tedarik zincirinde neler olduğu gibi faaliyetler hakkında daha bilinçli kararlar alma konusunda güçlendirecektir.
Güvenli kodlama eğitimi, sürekli ve gelişen bir yolculuk olmalıdır. Asla bir onay kutusu, tek seferlik bir alıştırma olmamalıdır. Güvenliği ön planda tutmak için sürekli bilgi birikimi oluşturmak ve pazarda sürekli değişen sorunların farkında olmak çok önemlidir.
Kuruluşlar, günlük işlerinde sürekli olarak en iyi güvenlik uygulamalarını uygulayanlara teşvikler veya ödüller sunmalıdır. Güvenlik şampiyonları başkalarını devreye sokar ve değişimi organik olarak etkiler. Eğitim programlarından önce ve sonra koddaki güvenlik açıklarının sayısı gibi sonuçları ölçerek ve başarıyı fark ederek, paydaşların desteğini almak ve karar vericiler için güvenli kodlama eğitimine yapılan yatırımı gerekçelendirmek de çok daha kolaydır.
İleriye bakmak
İnovasyon ve güvenlik, bunların gelişimin birbiriyle çelişen iki yönü olmadığını kabul ettiğimiz sürece SDLC’ye entegre edilebilir. Özellikle her hafta yeni kritik güvenlik açıklarının ortaya çıktığı ve siber suçluların giderek daha sofistike hale geldiği bir çağda bu zihniyetin değişmesi gerekiyor. Bir adım önde olmak, uygulama güvenliği eğitimine bağlılık gerektirir. Bu tek seferlik değil, bugün başlamamız gereken kariyer boyu sürecek bir yolculuk.
yazar hakkında
Amy Baker, Security Journey’de bir Güvenlik Eğitimi Evanjelistidir. 30 yıllık kariyeri boyunca Amy, tüm rollerdeki çalışanlar için güvenlik bilgilerini geliştirme misyonunu yönlendiren 10 yıldan fazla deneyime sahiptir. Şu anki sorumluluğu, özellikle geliştiricilere odaklanarak, yazılım geliştirme yaşam döngüsündeki herkes için güvenlik bilgisini geliştirmeye adanmıştır. Deneyimi Wombat Security ve Proofpoint’te lider olarak başladı (2018’de satın alma sonrası). Gartner, SecureWorld ve ISSA gibi güvenlik eğitim programlarını yönetmeye yönelik en iyi uygulamalar hakkında çeşitli bilgi güvenliği konferanslarında ve web seminerlerinde konuşmalar yaptı. Amy’ye şirketimizin web sitesi https://www.securityjourney.com/ üzerinden çevrimiçi olarak ulaşılabilir.