Τερματισμός της διαμάχης μεταξύ προγραμματιστών και ομάδων ασφαλείας
Οι καταναλωτές λαχταρούν απρόσκοπτες ψηφιακές εμπειρίες σε εφαρμογές για κινητές συσκευές. Μια εφαρμογή που στερείται μοντέρνων χαρακτηριστικών της αγοράς, αισθάνεται αδέξια, λειτουργεί αργά και δεν προστατεύει τα δεδομένα της, θα ωθήσει τους καταναλωτές να στραφούν γρήγορα σε μια αντίπαλη εφαρμογή.
Ως εκ τούτου, η επιχειρηματική υπόθεση για μια ισχυρή προσφορά εφαρμογών για κινητά είναι άσκοπη. Σύμφωνα με το eMarketer, οι χρήστες εφαρμογών για κινητά περνούν περίπου τέσσερις ώρες online καθημερινά, με ένα εκπληκτικό 88% αυτού του χρόνου να αφιερώνεται στη χρήση εφαρμογών και όχι σε ιστότοπους. Ωστόσο, η κάλυψη των απαιτήσεων των καταναλωτών, η διατήρηση της ανταγωνιστικότητας στην αγορά και η συμβατότητα με τους ανταγωνιστές απαιτούν μια συνεχή και ταχεία διαδικασία ανάπτυξης εφαρμογών. Αλλά για τους προγραμματιστές, αυτός ο αγώνας είναι ένα εμπόδιο. Και η εφαρμογή της ασφάλειας συχνά παρουσιάζει σημαντικές προκλήσεις.
Ασυμβίβαστες προτεραιότητες
Η ασφάλεια είναι απαραίτητο μέρος της απόκτησης και διατήρησης πελατών. Ωστόσο, συχνά υπάρχει ασυμβατότητα μεταξύ προγραμματιστών και ομάδων κυβερνοασφάλειας.
Οι προγραμματιστές θέλουν να αποστέλλονται όσο το δυνατόν συντομότερα και όσο πιο συχνά γίνεται, αλλά βλέπουν τις απαιτήσεις ασφάλειας και τις ομάδες στον κυβερνοχώρο ως αποκλειστές. Για τις ομάδες στον κυβερνοχώρο, η προτεραιότητά τους είναι η διατήρηση της ασφάλειας των καταναλωτών και της επιχείρησης. Ταυτόχρονα, οι πελάτες συνειδητοποιούν όλο και περισσότερο την ασφάλεια στον κυβερνοχώρο. Η έρευνα της Appdome για τις προσδοκίες των καταναλωτών για την ασφάλεια κινητών στο Ηνωμένο Βασίλειο αποκάλυψε ότι σχεδόν έξι στους δέκα (59%) των Βρετανών καταναλωτών κατέταξαν την ασφάλεια εφαρμογών για κινητά ως ίση με τις νέες δυνατότητες σε εφαρμογές Android και iOS, με το ένα τέταρτο των ερωτηθέντων να λέει ότι η ασφάλεια εφαρμογών για κινητά είναι πιο σημαντική από χαρακτηριστικά. Οι καταναλωτές δεν θέλουν πλέον απλώς απρόσκοπτες εμπειρίες χρησιμοποιώντας μια σύγχρονη εφαρμογή για κινητά, θέλουν επίσης μια ασφαλή.
Αυτό υπογραμμίζει την επιτακτική ανάγκη για τις επιχειρήσεις να ξεκαθαρίσουν τις αντικρουόμενες προτεραιότητες και διαδικασίες μεταξύ των ομάδων προγραμματιστών και του κυβερνοχώρου.
Αντιπρόεδρος Προϊόντων Ασφαλείας στην Appdome.
DevSecOps 2.0 – Αυτοματοποίηση προστασίας εφαρμογών για κινητά και εντοπισμού απειλών
Ανάπτυξη, ασφάλεια και λειτουργίες (DevSecOps), μια διαδικασία που ενσωματώνει πρωτοβουλίες ασφάλειας σε κάθε στάδιο της ανάπτυξης λογισμικού, είναι η απάντηση. Η τρέχουσα διαδικασία έκδοσης εφαρμογών για κινητά είναι γεμάτη συγκρούσεις μεταξύ ομάδων προγραμματιστών για κινητά και ομάδων κυβερνοχώρου. Οι ομάδες προγραμματιστών έχουν επενδύσει χρόνο και πόρους στην αυτοματοποίηση της διαδικασίας κυκλοφορίας όσο το δυνατόν περισσότερο. Στην πραγματικότητα, επικεντρώνονται στην αύξηση της ευελιξίας και της ταχύτητας των κυκλοφοριών τους όσο το δυνατόν περισσότερο. Από την άλλη πλευρά, οι ομάδες ασφάλειας στον κυβερνοχώρο θεωρούνται παρεμποδιστές αυτής της ευέλικτης διαδικασίας. Ειδικά όταν αναφέρονται ευρήματα ασφαλείας στη συνάντηση απελευθέρωσης. Αυτό οδηγεί τις ομάδες προγραμματιστών να κλιμακώνονται προς τη διαχείριση και να ζητούν υπογραφή για εξαιρέσεις κινδύνου. Είναι σημαντικό να αναγνωρίσουμε ότι τέτοιες εξαιρέσεις κινδύνου αυξάνουν την πιθανότητα πιθανών επιθέσεων ή παραβιάσεων, επειδή η εφαρμογή είναι απροστάτευτη στην παραγωγή. Ακόμη και με τη δέσμευση να επιλυθεί το ζήτημα ασφαλείας σε μια επόμενη έκδοση, αυτό ανοίγει ένα παράθυρο για τους χάκερ. Ωστόσο, πολύ συχνά οι οργανισμοί αναγκάζονται να κυκλοφορούν εφαρμογές με γνωστές αδυναμίες ασφάλειας, επειδή οι καθυστερήσεις μπορεί να οδηγήσουν σε σημαντική απώλεια ευκαιριών εσόδων ή απλώς να κάνουν την εφαρμογή μη ανταγωνιστική. Οι επιπτώσεις μιας επίθεσης μπορεί να είναι εξαιρετικά δαπανηρές και καταστροφικές για την επιχείρηση ή το εμπορικό σήμα. Καθώς οι απαιτητικοί καταναλωτές αναζητούν ταχύτητα και ασφάλεια, είναι προφανές ότι η επίλυση είναι επιτακτική ανάγκη για τη συνεχή επιτυχία της βιομηχανίας εφαρμογών για κινητά.
Η παραδοσιακή διαδικασία DevSecOps στοχεύει να συμπεριλάβει αυτοματοποιημένες δοκιμές ασφαλείας στον αγωγό ανάπτυξης και εγκατάστασης με σκοπό να εξορθολογίσει τη διαδικασία αναθεώρησης ασφαλείας χρησιμοποιώντας τον αγωγό. Το πρόβλημα με αυτήν την προσέγγιση είναι ότι οι ομάδες ανάπτυξης συχνά δεν έχουν τους πόρους, τις δεξιότητες ή τις γνώσεις για να επιλύσουν ευρήματα αγωγών και μπορεί να αποδώσουν χαμηλή προτεραιότητα στην ασφάλεια, καθώς η λειτουργικότητα, η εμφάνιση και η αίσθηση, η ευκολία χρήσης είναι οι κορυφαίοι οδηγοί για αυτές. Εκτός από τα παραπάνω, οι αυτοματοποιημένες σαρώσεις ασφάλειας και ευπάθειας είναι σίγουρα μια ευπρόσδεκτη προσθήκη στο μοντέλο DevSecOps, ωστόσο είναι σημαντικό να θυμάστε ότι οι σαρώσεις ασφαλείας αντιμετωπίζουν μόνο μέρος του προβλήματος – επειδή δεν μπορούν να χρησιμοποιηθούν για τη «διόρθωση» ή την «αποκατάσταση» του πρόβλημα. Εδώ απαιτείται αυτοματισμός άμυνας στον κυβερνοχώρο χωρίς κώδικα. Ο αυτοματισμός άμυνας στον κυβερνοχώρο μπορεί να χρησιμοποιηθεί για τη δημιουργία προστασιών σε εφαρμογές Android και iOS για την αποφυγή εκμεταλλεύσεων/επιθέσεων ή την αποκατάσταση απειλών ή αδυναμιών ασφαλείας στην εφαρμογή που εντοπίζονται με σάρωση ασφαλείας ή δοκιμή πένας.
Χρησιμοποιώντας μια προσέγγιση DevSecOps 2.0, οι κατασκευαστές εφαρμογών μπορούν να χρησιμοποιήσουν τον αυτοματισμό άμυνας εφαρμογών για κινητές συσκευές στη γραμμή CI/CD για να μεταφέρουν το βάρος και την ευθύνη για την παροχή των απαραίτητων προστασιών από την ομάδα ανάπτυξης στην ομάδα του κυβερνοχώρου. Με αυτόν τον τρόπο η ομάδα κυβερνοασφάλειας μπορεί να χρησιμοποιήσει τις ίδιες βέλτιστες πρακτικές προγραμματιστών για τη δημιουργία, τη δοκιμή, την κυκλοφορία και την παρακολούθηση του μοντέλου προστασίας στις εφαρμογές για κινητά από μόνη της, ως ισότιμο και ανεξάρτητο μέρος της διαδικασίας DevSecOps.
Αυτό επιτρέπει στους κατασκευαστές εφαρμογών να διατηρούν μια γρήγορη και ευέλικτη διαδικασία έκδοσης για τις εφαρμογές τους για κινητά, διασφαλίζοντας παράλληλα ότι οι εφαρμογές τους προστατεύονται πλήρως και μπορούν εύκολα να αναβαθμιστούν για προστασία από νέες απειλές και επιθέσεις. Όλα αυτά χωρίς η ομάδα προγραμματιστών να κάνει επιπλέον δουλειά.
Τα παραδοσιακά DevSecOps δεν είναι η απάντηση
Όταν πρόκειται για εφαρμογές για κινητά, η τρέχουσα προσέγγιση στο DevSecOps δεν λειτουργεί. Η απαίτηση για την παραδοσιακή διαδικασία DevSecOps περιλαμβάνει αυτοματοποιημένες δοκιμές ασφαλείας στη γραμμή ανάπτυξης και ανάπτυξης. Η ιδέα είναι ότι αυτό απλοποιεί τη διαδικασία ελέγχου ασφάλειας. Αν και αυτό επιταχύνει την ανακάλυψη εκμεταλλεύσιμων τρωτών σημείων, δεν βοηθά στην εφαρμογή των απαραίτητων προστασιών στην εφαρμογή για κινητά, με αποτέλεσμα οι ομάδες του κυβερνοχώρου και των προγραμματιστών να συγκρούονται σχετικά με τις προστασίες και τις εξαιρέσεις κινδύνου.
Το παραδοσιακό μοντέλο DevSecOps περιορίζει την ικανότητα της ομάδας στον κυβερνοχώρο να επιβάλλει ασφάλειες. Ουσιαστικά, το μόνο που μπορεί να κάνει η ομάδα είναι να ελέγξει, να αναφέρει και να προτείνει στην ομάδα προγραμματιστών τα χαρακτηριστικά ασφαλείας που πρέπει να προστεθούν. Ως εκ τούτου, η ομάδα του κυβερνοχώρου εξαρτάται πλήρως από τους προγραμματιστές για να κάνει τυχόν ενημερώσεις, αλλαγές ή αναβαθμίσεις.
Για να γίνουν τα πράγματα πιο σύνθετα, οι προγραμματιστές μπορεί να μην είναι πλήρως εξοικειωμένοι με τις πολιτικές ασφάλειας της εταιρείας ή τις συγκεκριμένες απειλές στον κυβερνοχώρο. Οι προγραμματιστές ενδέχεται να υπερεκτιμήσουν τις προστασίες ασφαλείας που παρέχονται από καταστήματα εφαρμογών ή κατασκευαστές συσκευών.
Ευτυχώς, η καινοτόμος τεχνολογία μπορεί να λύσει αυτό το δίλημμα. Η χρήση ενός εργαλείου αυτοματισμού άμυνας στον κυβερνοχώρο δίνει τη δυνατότητα στις ομάδες προγραμματιστών να εφαρμόσουν όλες τις προστασίες που απαιτούνται από την ομάδα ασφαλείας. Επιπλέον, τους επιτρέπει να αντιμετωπίζουν τις αδυναμίες που εντοπίζονται μέσω σαρώσεων ασφαλείας ή δοκιμών διείσδυσης – χωρίς καμία μη αυτόματη προσπάθεια ή αντίκτυπο στα χρονοδιαγράμματα εκδόσεων ή τις ροές εργασίας.
Αυτοματοποίηση άμυνας στη διάσωση
Ο αυτοματισμός άμυνας εφαρμογών για κινητά επιτρέπει στις ομάδες ασφάλειας στον κυβερνοχώρο να έχουν περισσότερο έλεγχο του μοντέλου ασφαλείας για εφαρμογές για κινητές συσκευές, χωρίς να απαιτείται η ολοκλήρωση σημαντικής εργασίας από πόρους που δεν ελέγχουν (π.χ. προγραμματιστές κινητών). Ο αυτοματισμός άμυνας εφαρμογών για φορητές συσκευές επιτρέπει στις ομάδες προγραμματιστών και ασφάλειας στον κυβερνοχώρο να συνεργάζονται αξιοποιώντας τη γραμμή συνεχούς ενοποίησης και συνεχούς παράδοσης (CI/CD), χρησιμοποιώντας αυτοματισμό για να αφαιρέσετε πλήρως το βάρος υλοποίησης από το πιάτο της ομάδας προγραμματιστών. Χρησιμοποιώντας τον αυτοματισμό άμυνας στον κυβερνοχώρο, οι ομάδες ασφάλειας στον κυβερνοχώρο μπορούν να δημιουργήσουν, να δοκιμάσουν, να απελευθερώσουν και να παρακολουθήσουν το μοντέλο ασφάλειας εφαρμογών για κινητά μόνες τους ή να επιτρέψουν στην ομάδα προγραμματιστών να εφαρμόσει το μοντέλο ασφαλείας που ορίζει – όλα μέσα από τις αυτοματοποιημένες ροές εργασίας που χρησιμοποιούν ήδη οι προγραμματιστές για τη δημιουργία και παραδώστε εφαρμογές για κινητά σήμερα. Αυτή η προσέγγιση διασφαλίζει ότι η αξιολόγηση ασφάλειας της εφαρμογής λειτουργεί ως αναπόσπαστο στοιχείο εκτός του συμβατικού κύκλου ζωής ανάπτυξης λογισμικού.
Εφαρμόζοντας με αυτόν τον τρόπο την αυτοματοποίηση της άμυνας στον κυβερνοχώρο, η ομάδα του κυβερνοχώρου αναλαμβάνει τον άμεσο έλεγχο εντός του αγωγού CI/CD, απαλλάσσοντας την ομάδα ανάπτυξης από τυχόν πρόσθετο φόρτο εργασίας ή την ανάγκη πλοήγησης στις πολυπλοκότητες των απαιτήσεων κυβερνοασφάλειας. Κατά συνέπεια, ο αγωγός λειτουργεί ομαλά, αυτοματοποιώντας τη διαδικασία ανάπτυξης εφαρμογών για κινητά, με ενσωματωμένα μέτρα ασφάλειας, κατά της απάτης και άλλα προστατευτικά μέτρα. Αυτή η προσέγγιση επιτρέπει τόσο στις ομάδες ανάπτυξης όσο και στην ομάδα ασφάλειας στον κυβερνοχώρο να ανταποκρίνονται αποτελεσματικά στις απαιτήσεις των καταναλωτών και να εκπληρώνουν τις αντίστοιχες ευθύνες τους. Κανείς δεν χρειάζεται να κάνει τους επώδυνους συμβιβασμούς που μαστίζουν τις παραδοσιακές λύσεις ασφάλειας εφαρμογών για κινητά.
Για μια ομάδα προγραμματιστών ή κυβερνοχώρου, αυτή είναι μια εξαιρετική θέση. Διαγράφει ένα ανεκτέλεστο ευρήματα ασφαλείας και επιταχύνει την απελευθέρωση νέων προστασιών που προέρχονται από τυχόν νέες δοκιμές ή αξιολογήσεις, εξαλείφοντας έτσι νέες και παλιές εντάσεις μεταξύ των οργανισμών.
Παιχνίδι changer
Μία από τις φυσικές διαμάχες της ζωής είναι μεταξύ ανθρώπων που κατασκευάζουν πράγματα και ανθρώπων που προστατεύουν πράγματα, αλλά η αυτοματοποίηση της διαδικτυακής άμυνας για εφαρμογές για κινητά είναι μια επαναστατική αλλαγή του παιχνιδιού. Για πάρα πολύ καιρό οι εταιρείες χρησιμοποιούν μια παραδοσιακή προσέγγιση DevSecOps, συμβάλλοντας σε σημαντικές τριβές.
Για να παραμείνουν ευθυγραμμισμένοι με τις προσδοκίες των καταναλωτών και τη δυναμική αγορά, οι σύγχρονοι οργανισμοί με προσφορές εφαρμογών για κινητά πρέπει να εξαλείψουν αυτή τη σημαντική πηγή έντασης. Ωστόσο, πριν το επιτύχετε αυτό, είναι απαραίτητες οι απρόσκοπτες εσωτερικές λειτουργίες. Με την υιοθέτηση μιας καινοτόμου αυτοματοποιημένης προσέγγισης για την εφαρμογή χαρακτηριστικών ασφαλείας, η συνεργασία υποκαθιστά τις διαφωνίες, επιτρέποντας στην ομάδα προγραμματιστών να επικεντρωθεί στα βασικά της πλεονεκτήματα χωρίς να χρειάζεται να ξεπεράσει εμπόδια.
Παρουσιάσαμε το καλύτερο λογισμικό κρυπτογράφησης.
Αυτό το άρθρο δημιουργήθηκε ως μέρος του καναλιού Expert Insights της TechRadarPro, όπου παρουσιάζουμε τα καλύτερα και πιο έξυπνα μυαλά στον κλάδο της τεχνολογίας σήμερα. Οι απόψεις που εκφράζονται εδώ είναι αυτές του συγγραφέα και δεν είναι απαραίτητα αυτές της TechRadarPro ή της Future plc. Αν ενδιαφέρεστε να συνεισφέρετε, μάθετε περισσότερα εδώ:
https://www.techradar.com/news/submit-your-story-to-techradar-pro
VIA:
TechRadar.com/
