Các nhà phát triển chuyên nghiệp muốn làm điều đúng đắn, nhưng về mặt bảo mật, chúng hiếm khi được thiết lập để thành công. Các tổ chức phải hỗ trợ nâng cao kỹ năng của họ bằng đào tạo chính xác và khuyến khích nếu họ muốn có phần mềm an toàn ngay từ đầu.
Mối đe dọa mạng ngày càng phức tạp hơn, với dữ liệu của chúng tôi được nhiều người coi là “vàng kỹ thuật số” rất đáng mơ ước. Những kẻ tấn công liên tục quét mạng để tìm các ứng dụng, chương trình, phiên bản đám mây dễ bị tấn công và hương vị mới nhất trong tháng là API, với Gartner dự đoán chính xác rằng chúng sẽ trở thành vectơ tấn công phổ biến nhất vào năm 2022, và điều đó có được một phần không nhỏ nhờ vào kiểm soát an ninh thường lỏng lẻo.
Các tác nhân đe dọa tồn tại dai dẳng đến mức các ứng dụng mới đôi khi có thể bị xâm phạm và khai thác trong vòng vài giờ sau khi triển khai. Báo cáo điều tra vi phạm dữ liệu của Verizon 2022 tiết lộ rằng các lỗi và cấu hình sai là nguyên nhân của 13% vi phạm, trong đó yếu tố con người chịu trách nhiệm chung cho 82% trong số 23.000 sự cố được phân tích.
Rõ ràng là cách duy nhất để thực sự củng cố phần mềm đang được tạo là đảm bảo rằng nó được xây dựng trên mã bảo mật. Nói cách khác, cách tốt nhất để ngăn chặn sự xâm lược của tác nhân đe dọa là từ chối cho họ một chỗ đứng trong phần mềm của bạn ngay từ đầu. Tội phạm mạng có lợi thế khác biệt so với các tổ chức đang tranh giành để bảo vệ bề mặt tấn công thường xuyên rộng lớn của họ và bất kỳ cơ hội nào có thể đóng lại để giảm thiểu rủi ro một cách đáng kể.
Chúng tôi khiến các ngôi sao bảo mật khó tỏa sáng
Hiện trạng của các nhà phát triển tại nhiều tổ chức là vai trò chính của họ là xây dựng các tính năng tuyệt vời và triển khai phần mềm với tốc độ nhanh. Các nhà phát triển có thể viết mã và triển khai càng nhanh thì họ càng có xu hướng được đánh giá cao về hiệu suất của họ.
Bảo mật có thể là một vấn đề cần cân nhắc sau, nếu được xem xét ở tất cả, và rõ ràng là không có như một thước đo thành công của nhà phát triển. Khảo sát về bảo mật theo hướng nhà phát triển năm 2022 kết hợp với Evans Data ủng hộ triển vọng này, với 86% nhà phát triển được khảo sát tiết lộ rằng họ không coi bảo mật ứng dụng là ưu tiên hàng đầu. Thay vào đó, phần lớn việc đó được để cho các nhóm bảo mật ứng dụng (AppSec) tìm hiểu. Các nhóm AppSec có xu hướng là nguồn gây thất vọng cho hầu hết các nhà phát triển, vì họ thường gửi các ứng dụng đã hoàn thiện trở lại quá trình phát triển để áp dụng các bản vá bảo mật hoặc viết lại mã để khắc phục các lỗ hổng. Và mỗi giờ mà một nhà phát triển dành để làm việc trên một ứng dụng đã “hoàn thành” là một giờ họ không tạo ra các ứng dụng và tính năng mới, do đó làm giảm hiệu suất của họ (và giá trị của họ, trong mắt của một công ty đặc biệt trừng phạt).
Tuy nhiên, môi trường đe dọa hiện đại đã buộc tất cả mọi người, từ các công ty đến các cơ quan chính phủ, phải suy nghĩ lại về tầm quan trọng và mức độ ưu tiên của bảo mật, và họ sẽ có đủ khả năng để xem xét cách mà nhóm phát triển phù hợp với một cách tiếp cận phòng thủ. Theo Báo cáo chi phí vi phạm dữ liệu năm 2022 gần đây của IBM và Viện Ponemon, vi phạm an ninh mạng trung bình hiện tiêu tốn khoảng 4,24 triệu đô la cho mỗi sự cố, mặc dù đó hầu như không phải là giới hạn trên. Các công ty ngày nay muốn bảo mật được cung cấp bởi DevSecOps, nhưng đáng buồn thay, đã chậm thưởng cho các nhà phát triển trả lời cuộc gọi đó.
Chỉ đơn giản nói với các nhóm phát triển để xem xét bảo mật sẽ không hoạt động, đặc biệt là nếu họ vẫn đang được khuyến khích chỉ dựa trên tốc độ. Trên thực tế, trong một hệ thống như vậy, các nhà phát triển dành thời gian để tìm hiểu về bảo mật và bảo mật mã của họ thực sự có thể bị mất các đánh giá hiệu suất tốt hơn và tiền thưởng sinh lợi mà các đồng nghiệp kém hiểu biết về bảo mật của họ tiếp tục kiếm được. Nó gần giống như các công ty đang cố tình gian lận hệ thống vì những thiếu sót bảo mật của riêng họ, và điều đó quay trở lại nhận thức của họ về nhóm phát triển. Nếu họ không coi họ là tiền đề an ninh, thì rất khó có khả năng một kế hoạch khả thi để sử dụng lực lượng lao động của họ sẽ thành hiện thực.
Và điều này thậm chí không giải thích cho việc thiếu đào tạo. Một số nhà phát triển có kỹ năng rất cao đã có hàng chục năm kinh nghiệm viết mã, nhưng rất ít khi nói đến bảo mật… xét cho cùng, điều đó không bao giờ được yêu cầu ở họ, cũng không phải là thước đo thành công hay chất lượng công việc. Trừ khi một công ty cung cấp một chương trình đào tạo tốt, họ khó có thể mong đợi các nhà phát triển của mình đột nhiên đạt được các kỹ năng mới và đưa chúng vào hành động một cách có ý nghĩa nhằm tích cực giảm thiểu các lỗ hổng.
(Bạn muốn cạnh tranh với các nhà phát triển ưu tú khác từ khắp nơi trên thế giới hoặc đề cử nhóm phát triển của riêng bạn gồm các siêu sao bảo mật? Tham gia Chiến binh mã bảo mật‘S 2022 Devlympicsgiải đấu mã hóa an toàn toàn cầu lớn nhất và tốt nhất của chúng tôi, và bạn có thể thắng lớn!)
Thưởng cho các nhà phát triển vì các phương pháp bảo mật tốt
Tin tốt là phần lớn các nhà phát triển làm công việc của họ vì họ thấy nó vừa thách thức vừa bổ ích, và vì họ được tôn trọng mà vị trí của họ đòi hỏi. Kỹ sư phần mềm suốt đời Michael Shpilt gần đây đã viết về tất cả những điều thúc đẩy anh và các đồng nghiệp của anh trong công việc phát triển của họ. Đúng vậy, anh ấy liệt kê các khoản bồi thường bằng tiền trong số những ưu đãi đó, nhưng đáng ngạc nhiên là nó nằm ở phía dưới danh sách. Thay vào đó, anh ấy ưu tiên cảm giác hồi hộp khi tạo ra thứ gì đó mới, phát triển kỹ năng và sự hài lòng khi biết rằng công việc của mình sẽ được sử dụng trực tiếp để giúp đỡ người khác. Anh ấy cũng nói về việc muốn cảm thấy có giá trị trong công ty và cộng đồng của mình. Nói tóm lại, các nhà phát triển không khác gì rất nhiều người giỏi, những người luôn tự hào về công việc của họ.
Các nhà phát triển như Shpilt không muốn các tác nhân đe dọa xâm phạm mã của họ và sử dụng nó để gây hại cho công ty của họ hoặc chính những người dùng mà họ đang cố gắng giúp đỡ. Tuy nhiên, họ không thể đột ngột chuyển các ưu tiên của mình sang bảo mật mà không có sự hỗ trợ.
Để giúp các nhóm phát triển cải thiện năng lực an ninh mạng của họ, trước tiên họ phải được dạy các kỹ năng cần thiết. Việc sử dụng phương pháp tiếp cận theo cấp độ để học tập – cũng như các công cụ được xây dựng có mục đích để tích hợp liền mạch vào quy trình làm việc thực tế của họ – có thể làm cho quá trình này ít đau đớn hơn nhiều trong khi giúp xây dựng dựa trên kiến thức hiện có trong bối cảnh phù hợp.
Với cam kết nâng cao kỹ năng tại chỗ, các phương pháp đánh giá nhà phát triển cũ chỉ dựa trên tốc độ cần phải bị loại bỏ. Thay vào đó, các nhà phát triển nên được khen thưởng dựa trên khả năng của họ trong việc tạo ra các mẫu mã tốt và an toàn, với những ứng viên tốt nhất trở thành nhà vô địch bảo mật giúp những người còn lại trong nhóm cải thiện kỹ năng của họ. Và những nhà vô địch đó cần được khen thưởng bằng cả uy tín của công ty và tiền bồi thường. Điều quan trọng cần nhớ là các nhà phát triển thường không có trải nghiệm tích cực về bảo mật và việc nâng cao tinh thần cho họ bằng cách học tích cực, vui vẻ và các biện pháp khuyến khích phù hợp với sở thích của họ sẽ đi một chặng đường dài để đảm bảo cả khả năng duy trì kiến thức và mong muốn tiếp tục xây dựng kỹ năng .
(Bạn muốn cạnh tranh với các nhà phát triển ưu tú khác từ khắp nơi trên thế giới hoặc đề cử nhóm phát triển của riêng bạn gồm các siêu sao bảo mật? Tham gia Chiến binh mã bảo mật‘S 2022 Devlympicsvà bạn có thể giành được giải thưởng lớn bằng tiền mặt trong các giải đấu toàn cầu của chúng tôi!)
