บ้าน Securitywatch Rsa: ซอฟต์แวร์รักษาความปลอดภัยเสียเวลาหรือไม่?

Rsa: ซอฟต์แวร์รักษาความปลอดภัยเสียเวลาหรือไม่?

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)

วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
Anonim

ซานฟรานซิสโก - แผงการประชุม RSA สองคนจัดการกับคำถามกระตุ้นความคิด: ความปลอดภัยของซอฟต์แวร์เป็นเรื่องเสียเวลาสำหรับ บริษัท ส่วนใหญ่หรือไม่?

ไม่มีใครแนะนำว่า บริษัท ควรละเว้นข้อบกพร่องในผลิตภัณฑ์ของพวกเขา แต่คำถามคือวิธีการและเวลาที่ควรแก้ไข

Microsoft, Adobe และ บริษัท อื่น ๆ อีกไม่กี่ บริษัท ที่สนับสนุนวงจรการพัฒนาซอฟต์แวร์ที่ปลอดภัยซึ่งปัญหาด้านความปลอดภัยได้รับการแก้ไขในระหว่างขั้นตอนการพัฒนาทั้งหมด ยังมีอีกหลาย บริษัท ที่เชื่อว่าเวลาและเงินที่ใช้ไปกับการริเริ่มด้านความปลอดภัยของซอฟต์แวร์เหล่านี้สามารถนำไปใช้ที่อื่นได้และเป็นเรื่องที่น่าสนใจมากกว่าที่จะแก้ไขข้อบกพร่องหลังจากส่งผลิตภัณฑ์

ในอีกด้านหนึ่งมี บริษัท เช่น Adobe ที่ต้องจัดการกับผู้โจมตีมุ่งมั่นที่จะใช้ช่องโหว่ในซอฟต์แวร์ แบรดอาร์คินกล่าวว่าการหาประโยชน์ที่ทำงานร่วมกับรีดเดอร์หรือแฟลชทำให้เกิดความเสี่ยงมากกว่าหนึ่งพันล้านเครื่อง “ ค่าใช้จ่ายในการแก้ไขปัญหาเหล่านั้นสูงมากจนเราต้องลงทุนทุกอย่างเท่าที่จะทำได้เพื่อแก้ไขปัญหาเหล่านั้นก่อนที่เราจะจัดส่ง” เขากล่าว

และอีกด้านหนึ่งมี บริษัท ที่ไม่เคยเห็นผลตอบแทนจากการลงทุนในการดำเนินการพัฒนาซอฟต์แวร์ที่มีความปลอดภัยตามที่ผู้อภิปราย John Viega รองประธานบริหารของ SilverSky เดิมชื่อ Perimeter E-Security กล่าว “ สำหรับ บริษัท ส่วนใหญ่จะมีราคาถูกกว่าและให้บริการลูกค้าได้ดีกว่ามากหากพวกเขาไม่ทำอะไรเลยจนกว่าจะมีอะไรเกิดขึ้นคุณควรรอตลาดเพื่อกดดันให้คุณทำ” วีก้ากล่าว

แพงเกินไป

วีก้าไม่ได้ขัดและแย้งกับ Arkin ของ Adobe เท่านั้น ก่อนหน้านี้เขาเคยทำงานเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ที่ McAfee และ "เท่าที่เราสามารถวัดได้มันก็เป็นการสิ้นเปลืองเงินอย่างแน่นอน" เขากล่าว

ตัวอย่างเช่นหนึ่งปี McAfee มีข้อบกพร่องด้านความปลอดภัยที่เปิดเผยสามข้อต่อสาธารณะซึ่งมีค่าใช้จ่ายน้อยกว่า 50, 000 เหรียญสหรัฐที่จะจัดการกับปัญหานี้ Viega กล่าว รูปรวมถึงการสื่อสารทั้งหมดและเวลาที่ใช้ในการพัฒนาและทดสอบการแก้ไข ในทางตรงกันข้ามโปรแกรมรักษาความปลอดภัยซอฟต์แวร์แบบครบวงจรในทางกลับกันทำให้ บริษัท ต้องเสียค่าใช้จ่ายโดยตรงหลายล้านดอลลาร์และต้นทุนทางอ้อมเช่นการสูญเสียผลิตภาพ เท่าที่เขาจะบอกได้ บริษัท "ทำให้งานของคนเลวแพงกว่านิดหน่อย" แต่ไม่เพียงพอที่จะพิสูจน์ค่าใช้จ่าย

“ มี บริษัท หลายชั้นที่ไม่เหมาะสมที่จะทำอะไร” Viega กล่าว

ในขณะที่การรักษาความปลอดภัยเป็นสิ่งสำคัญมันไม่ควรเป็นแรงผลักดันให้ Viega แนะนำ เขาเปรียบเทียบสถานการณ์กับอุตสาหกรรมยานยนต์ หากความปลอดภัยเป็น "สิ่งที่สำคัญที่สุด" ดังนั้น "เราจะมีรถยนต์ที่ไม่เกิน 5 ไมล์ต่อชั่วโมง" เขากล่าว การดูต้นทุนทางเศรษฐกิจช่วยให้ทราบว่าควรมีการแลกเปลี่ยนที่ใด

สำหรับ Adobe การรอคอยนั้นแพงเกินไปดังนั้นพวกเขาจึงมั่นใจได้ว่าความปลอดภัยของซอฟต์แวร์เป็นส่วนสำคัญของกระบวนการพัฒนาผลิตภัณฑ์ตั้งแต่แนวคิดการออกแบบการเข้ารหัสการทดสอบและการปรับใช้ บริษัท ดำเนินการฝึกอบรมด้านความปลอดภัยอย่างกว้างขวางสำหรับวิศวกรทุกคนโดยไม่คำนึงถึงทักษะและประสบการณ์ระดับเพื่อให้แน่ใจว่าทุกคนมองความปลอดภัยในลักษณะที่รวมเป็นหนึ่ง

แก้ไขข้อผิดพลาดทุกอย่าง

อาร์คินระวังที่จะชี้ให้เห็นว่าในขณะที่ บริษัท ใช้เวลาและทรัพยากรในการค้นหาและแก้ไขช่องโหว่ในระหว่างกระบวนการพัฒนาจำนวนมากเป้าหมายก็ไม่ได้ทำให้เกิดข้อผิดพลาดที่เป็นไปได้ทั้งหมด มันเป็นการใช้พลังงานและเงินของทีมเพื่อแก้ไขข้อผิดพลาดในหมวดหมู่

“ หากคุณกำลังแก้ไขข้อผิดพลาดเล็ก ๆ น้อย ๆ ทุกอย่างคุณจะเสียเวลาที่คุณจะเคยชินกับการบรรเทาข้อบกพร่องทั้งชั้น” เขากล่าว

โดยทั่วไปแล้วลูกค้าไม่มีทางทราบว่า บริษัท ใดเป็น บริษัท จัดส่งหรือแก้ไขมัน ผู้ซื้อไม่เข้าใจเพียงพอและพวกเขาไม่ได้คิดถึงความปลอดภัยของแอปพลิเคชั่นเสมอเมื่อประเมินการซื้อของพวกเขาเขากล่าว “ เฮ้คนยังใช้ Adobe อยู่” Viega กล่าว

มีมาตรฐานบางอย่างที่จะบอกได้ว่าซอฟต์แวร์ที่ระบุเป็นผลิตภัณฑ์ "แก้ไขปัญหา" หรือไม่? Viega ไม่ได้แยกแยะความเป็นไปได้โดยสังเกตว่าแม้แต่ขวดน้ำก็มีฉลากที่พิมพ์ข้อมูลโภชนาการ

Rsa: ซอฟต์แวร์รักษาความปลอดภัยเสียเวลาหรือไม่?