Video: RSA алгоритм. Шифровка. Информационная безопасность, криптография, тайнопись. Простые числа. (Lokakuu 2024)
SAN FRANCISCO - Kahden hengen RSA-konferenssipaneeli käsitteli provokatiivista kysymystä päinvastaisesti: Onko ohjelmistoturva ajanhukkaa useimmille yrityksille?
Kukaan ei ehdottanut, että yritysten tulisi jättää huomiotta tuotteissaan olevat virheet, mutta kysymys oli enemmän siitä, kuinka ja milloin korjaukset tapahtuvat.
Microsoft, Adobe ja muutamat muut yritykset kannattavat turvallista ohjelmistokehityksen elinkaarta, jossa tietoturvaongelmiin puututaan kaikissa kehitysvaiheissa. Vielä on monia yrityksiä, jotka uskovat, että näihin ohjelmistoturvallisuusaloitteisiin käytetty aika ja raha voidaan käyttää muualle, ja heidän etujensa on vain korjata virheet tuotteiden lähettämisen jälkeen.
Toisaalta on Adobe-kaltaisia yrityksiä, joiden on käsiteltävä sitoutuneita hyökkääjiä, jotka aikovat hyödyntää ohjelmiston haavoittuvuuksia. "Readeria tai Flashia vastaan toimiva hyväksikäyttö asettaa yli miljardille tietokoneelle riskin", Adoben Brad Arkin sanoi paneelissa. "Kustannukset näiden korjausten tekemisestä ovat niin korkeat, että meidän on investoitava kaikkemme näiden ongelmien korjaamiseksi ennen lähettämistä", hän sanoi.
Ja toisaalta on yrityksiä, jotka eivät koskaan näe sijoitetun pääoman tuottoa turvallisten ohjelmistokehityshankkeiden toteuttamisessa, SilverSkyn entisen Perimeter E-Security -toimitusjohtajan, varatoimitusjohtaja John Viegan mukaan. "Useimmille yrityksille se tulee olemaan huomattavasti halvempaa ja palvelemaan asiakkaitaan paljon paremmin, jos he eivät tee mitään ennen kuin jotain tapahtuu. Odotat paremmin, että markkinat painostavat sinua tekemään sen", Viega sanoi.
Liian kallis
Viega ei ollut vain ristiriidassa ja eri mieltä Adoben Arkinin kanssa. Hän on aikaisemmin työskennellyt tuoteturvallisuudessa McAfeessa ja "sikäli kuin mittasimme, se oli ehdotonta rahan tuhlaamista", hän sanoi.
Esimerkiksi yhden vuoden ajan McAfeella oli kolme julkisesti paljastettua turvallisuusvirhettä, joiden käsitteleminen maksaa alle 50 000 dollaria, Viega sanoi. Luku sisälsi kaiken tiedonsiirron ja korjauksen kehittämiseen ja testaamiseen kuluvan ajan. Päinvastoin, kattava ohjelmistoturvaohjelma sen sijaan maksoi yritykselle miljoonan dollarin välittömät kustannukset ja vielä enemmän välilliset kustannukset, kuten tuottavuuden menetys, hän sanoi. Sikäli kuin hän pystyi kertomaan, yritys "teki pahiksen työn hiukan kalliimmaksi", mutta ei riittävän perustelemaan kustannuksia.
"Siellä on koko joukko yrityksiä, joissa ei ole mitään järkeä tehdä mitään", Viega sanoi.
Vaikka turvallisuus on tärkeää, sen ei pitäisi olla liikkeellepaneva voima, Viega ehdotti. Hän vertasi tilannetta autoteollisuuteen. Jos turvallisuus olisi "ensiarvoisen tärkeää", silloin "meillä olisi autoja, joiden nopeus ei ylitä 5 mailia tunnissa", hän sanoi. Taloudellisten kustannusten tarkastelu auttaa selvittämään, missä kompromissien pitäisi olla.
Adobelle odottaminen on liian kallista, joten he varmistavat, että ohjelmistoturvallisuus on tärkeä osa tuotekehitysprosessia konseptista, suunnittelusta, koodaamisesta, testaamisesta ja käyttöönottamisesta alkaen. Yhtiö harjoittaa laajaa turvallisuuskoulutusta kaikille insinöörilleen riippumatta taitotasosta ja kokemustasosta varmistaakseen, että kaikki tarkastelevat turvallisuutta yhtenäisellä tavalla.
Korjaa jokainen pieni virhe
Arkin huomautti varovaisesti, että vaikka yritys vietti huomattavasti aikaa ja resursseja haavoittuvuuksien löytämiseen ja korjaamiseen kehitysprosessin aikana, tavoitteena ei ollut poistaa kaikkia mahdollisia virheitä. Hän käytti paremmin ryhmän energiaa ja rahaa virheluokkien ratkaisemiseen.
"Jos korjaat jokaisen pienen virheen, tuhlaat aikaa, jonka olisit voinut käyttää pienentämään kokonaisia luokkia virheitä", hän sanoi.
Asiakkailla ei yleensä ole mitään keinoa tietää, mikä yritys on laiva- tai korjausyritys, Viega sanoi. Ostajat eivät ole riittävän taitavia, eivätkä he aina ajattele sovelluksen turvallisuutta arvioidessaan ostoksia, hän sanoi. "Hei, ihmiset käyttävät edelleen Adobea", Viega sanoi.
Voisiko olla jonkinlainen standardi, joka kertoisi, onko tietty ohjelmisto "korjaa" -tuote vai ei? Viega ei sulkenut pois mahdollisuutta, panemalla merkille, että jopa vesipulloon on merkitty ravintoarvotiedot sisältävä etiketti.
