Şirketler daha dayanıklı bulut altyapılarına geçiş yaparken, tehdit aktörleri dikkatlerini, sistemleri tehlikeye atmak için bir giriş noktası olarak uygulama ortamına çevirmeye devam ediyor. Uygulamaların en az %76’sı en az bir güvenlik açığından muzdarip, yazılımın güvenliğini sağlamak bir öncelik olmalıdır. Ne yazık ki, eğitim ve öğretim fırsatlarının ürkütücü eksikliği, pek çok geliştiriciyi, tam da onlara en çok ihtiyacımız olduğu anda, güvenli kod yazmaya ve tasarımı gereği güvenli sistemler oluşturmaya hazırlıksız bıraktı.
Kendimizi bu kritik noktada bulmamıza rağmen, siber güvenlik becerileri açığı çok büyük olmaya devam ediyor. Bu, çalışanlara güvenli kodlama ilkelerini ve bunların yazılım geliştirme yaşam döngüsünü nasıl etkilediğini öğretmek için sürekli işyeri eğitimi eksikliği ile birleştirilir.
Bu arada, tehdit aktörleri daha yetenekli hale geliyor ve SolarWinds ve Colonial Pipeline gibi şirketlere yönelik son zamanlardaki yüksek profilli saldırılar ABD Başkanı Joe Biden’ı kapsamlı bir açıklama yapmaya sevk etti. siber güvenlik icra emri Bu, yazılım güvenliğine büyük önem verir.
Ortaöğretim müfredatında güvenli kodlama eğitimi eksikliğinde rol oynayan birçok faktör arasında en göze çarpanı, bazı fakültelerin güvenlik alanı hakkında yeterince bilgi sahibi olmaması ve bu da akademi ile endüstri arasında boşluklara yol açmasıdır. Ayrıca, yazılım geliştirmedeki sürekli değişiklikler ve gelişen araç zincirleri nedeniyle boşluk büyümüştür. Akademi ayak uydurmak için mücadele ediyor ve öğrenciler kritik ve talep gören bir beceriyi öğrenme fırsatlarını kaçırıyor.
Siber güvenliği kapsayan üniversite kurslarının çoğu, bir saldırganın güvenli olmayan kodun bir sonucu olarak bir sistemi nasıl manipüle edebileceğini ve kontrol edebileceğini öğretmek yerine, zayıf yazılım güvenliği uygulamalarının neden olduğu sorunlara karşı korumaya odaklanır.
Geliştiricilerin, bir uygulamanın SQL enjeksiyonu veya komut enjeksiyonu gibi saldırı vektörlerinden nasıl risk altında olabileceğinin temellerini anlaması gerekir. Bunlar okulda yeterince öğretilmeyen belirli kavramlardır, bu nedenle güvenli kodlama ve uygulama güvenliği ilkelerine ilişkin eğitim modülleri herhangi bir bilgisayar bilimi müfredatının bir gerekliliği haline gelmelidir.
İş Başında Eğitim Anlamlı Olmalı
Çoğu kodlayıcı, temel güvenli kodlama bilgisi olmadan iş gücüne girdiğinden, geliştiricilerin güvenlik açıklarındaki değişikliklere ve kodlama en iyi uygulamalarına ayak uydurmak için işyerinde etkili eğitim fırsatlarına erişmeleri giderek daha önemli hale geliyor.
İyi haber şu ki yarıdan fazla Kuzey Amerika’daki kuruluşların yüzdesi, geliştiricilere bir düzeyde güvenlik eğitimi sağlıyor, ancak yalnızca %29’u yılda bir defadan fazla eğitim gerektiriyor. Birçok kuruluş, çalışanlarına ilk güvenlik eğitimi veya kendi kendine öğretilen modüller sunarken, geçici, seyrek eğitim, geliştiricilerin öğrendiklerini uygulamaya koymalarını sağlamaz. Bunun da ötesinde, modern eğitim alıştırmaları genellikle genel, sıkıcıdır ve gerçek kusur tanımlama ve düzeltmeden çok uzaktır, bu da eğitimi gerçek dünyada tutmayı ve yürütmeyi zorlaştırır.
Günlük hayatta, bir geliştirici bir sürü kod yazar ve bir hafta veya bir ay sonra bir güvenlik sorunu ortaya çıkar. Zamanın yarısında, başka bir geliştirici kusuru giderir, böylece onu yazan kişi asla düzeltme fırsatı bulamaz. Bu, orijinal geliştiricinin öğrendiklerini asla uygulamadığı ve dolayısıyla dersi çabucak unuttuğu anlamına gelir.
Geliştiriciler her zaman yeni kodlama teknikleri öğrenmeye çalışırlar – bu onların DNA’larındadır. Yani sorun ilgi eksikliği değil. İlginç eğitim seçeneklerinin olmaması. İşin püf noktası, onu anlamlı kılmaktır – hem ilgi çekici hem de uygulanabilir. Kodlayıcıların gerçek kodu kullanmasına ve düzeltmesine, gerçek zamanlı geri bildirim almasına ve ardından bu AppSec ilkelerini yazdıkları koda uygulamasına olanak tanıyan uygulamalı öğrenme fırsatları yaratın. Bu anında geri bildirim döngüsü, kodlayıcıların iş akışlarını yansıtan gerçek dünya senaryolarında uygulama güvenliğini öğrenmesine ve uygulamasına yardımcı olur.
Yönetim İkilemi: Riske Karşı Ödül
Devam eden güvenlik eğitimine yönelik diğer büyük zorluk ise tamamen farklıdır ve belki de çözülmesi daha da zordur. Daha fazla kodu daha hızlı üretmek için sürekli baskı altında olan geliştirme ekipleri, kodlayıcıları sık sık saatlerce veya günlerce eğitime kaybetmeyi göze alamaz. Üretimi keser – işletme için savunması zor olan ölçülebilir bir maliyet. Öte yandan, tehlikede olan potansiyel olarak çok daha maliyetlidir.
Yönetim, güvenlik odaklı geliştiricilerin yararına karşı üretim kaybı riskini tartmalıdır. İle bir veri ihlalinin maliyeti şimdi 424 milyon dolar, geliştiricileri yazılım kusurlarını önleme ve düzeltme bilgisi ile donatmak, birkaç saatlik “yeniden yönlendirilmiş” üretkenliğe değer. Yönetimin geliştirici eğitimine öncelik vermesine yardımcı olmak zor bir iştir, ancak endüstrinin çözmesi gereken bir şeydir.
Geliştiricileri Kahraman Yapın
Siber saldırılar her 39 saniyede bir gerçekleşirve son zamanlardaki siber saldırılar ve fidye yazılımı olayları herhangi bir gösterge ise, işler daha da ciddileşecek. Hem gelecek vadeden hem de mevcut geliştiricilere en baştan güvenli yazılım oluşturmak için ihtiyaç duydukları bilgileri vermek için güvenli kodlama eğitimine öncelik vermenin zamanı geldi. Gelecek nesil geliştiriciler, kendilerini neyin beklediğini henüz bilmiyorlar, ancak gidişatı lehimize çevirmek için ihtiyacımız olan kahramanlar olabilirler.