Video: RSA Software Token Provisioning Example (November 2024)
SAN FRANCISCO - Een RSA-conferentiepanel voor twee personen pakte een provocerende vraag frontaal aan: is softwarebeveiliging tijdverspilling voor de meeste bedrijven?
Niemand suggereerde dat bedrijven bugs in hun producten moesten negeren, maar de vraag was meer hoe en wanneer fixes zouden moeten optreden.
Microsoft, Adobe en enkele andere bedrijven pleiten voor een veilige levenscyclus van softwareontwikkeling, waarbij beveiligingsproblemen tijdens alle ontwikkelingsfasen worden aangepakt. Er zijn nog steeds veel bedrijven die geloven dat de tijd en het geld die aan deze software-beveiligingsinitiatieven wordt besteed, elders zouden kunnen worden gebruikt, en het is meer in hun belang om bugs te repareren nadat producten zijn verzonden.
Aan de ene kant zijn er bedrijven zoals Adobe, die te maken hebben met toegewijde aanvallers die kwetsbaarheden in de software willen misbruiken. "Een exploit die werkt tegen Reader of Flash brengt meer dan een miljard computers in gevaar", zei Brad Arkin van Adobe op het paneel. "De kosten om die oplossingen te krijgen zijn zo hoog dat we alles moeten investeren om die problemen op te lossen voordat we verzenden, " zei hij.
En aan de andere kant zijn er bedrijven die nooit een rendement op de investering zien bij het implementeren van veilige software-ontwikkelingsinitiatieven, volgens panellid John Viega, executive vice-president van SilverSky, voorheen Perimeter E-Security. "Voor de meeste bedrijven zal het veel goedkoper zijn en hun klanten veel beter van dienst zijn als ze niets doen totdat er iets gebeurt. Je kunt beter wachten tot de markt je onder druk zet om het te doen, " zei Viega.
Te duur
Viega was niet alleen het tegenovergestelde en het niet eens met Arkin van Adobe. Hij werkte voorheen aan productbeveiliging bij McAfee en "voor zover we konden meten, was het een absolute verspilling van geld", zei hij.
Eén jaar had McAfee bijvoorbeeld drie openbaar gemaakte beveiligingsfouten, die in totaal minder dan $ 50.000 kosten, zei Viega. Het cijfer omvatte alle communicatie en de tijd die nodig was om de fix te ontwikkelen en te testen. Daarentegen kostte een uitgebreid softwarebeveiligingsprogramma het bedrijf daarentegen miljoenen dollars aan directe kosten, en nog meer aan indirecte kosten, zoals productiviteitsverlies, zei hij. Voor zover hij kon zien, maakte het bedrijf 'het werk van de slechterik een beetje duurder', maar niet genoeg om de kosten te rechtvaardigen.
"Er is een hele klasse van bedrijven waar het nergens op slaat om iets te doen, " zei Viega.
Hoewel beveiliging belangrijk is, zou dit niet de drijvende kracht moeten zijn, stelde Viega voor. Hij vergeleek de situatie met de auto-industrie. Als veiligheid het "belangrijkste" was, dan "zouden we auto's hebben die niet meer dan 8 km per uur rijden", zei hij. Kijkend naar de economische kosten helpen om erachter te komen waar de afwegingen moeten zijn.
Voor Adobe is wachten te duur, dus zorgen ze ervoor dat softwarebeveiliging een belangrijk onderdeel is van het productontwikkelingsproces, van concept, ontwerp, codering, testen en implementatie. Het bedrijf geeft een uitgebreide beveiligingstraining voor al zijn ingenieurs, ongeacht vaardigheden en ervaringsniveau, om te zorgen dat iedereen op een uniforme manier naar beveiliging kijkt.
Elke kleine bug repareren
Arkin wees er voorzichtig op dat hoewel het bedrijf een aanzienlijke hoeveelheid tijd en middelen besteedde aan het vinden en oplossen van kwetsbaarheden tijdens het ontwikkelingsproces, het doel niet was om elke mogelijke bug uit te roeien. Het was een beter gebruik van de energie en het geld van het team om categorieën van bugs aan te pakken, zei hij.
"Als je elke kleine bug repareert, verspil je de tijd die je had kunnen gebruiken om hele klassen bugs te verminderen, " zei hij.
Klanten hebben over het algemeen geen manier om te weten welk bedrijf een ship-it of fix-it bedrijf is, zei Viega. Kopers zijn niet slim genoeg en denken niet altijd na over de veiligheid van de applicatie bij het evalueren van hun aankopen. "Hé, mensen gebruiken nog steeds Adobe, " zei Viega.
Zou er een standaard kunnen zijn die aangeeft of een bepaalde software een 'fix it'-product is of niet? Viega sloot de mogelijkheid niet uit en merkte op dat zelfs een fles water een etiket met voedingsinformatie heeft afgedrukt.
