Video: Data Breach il tuo IBM i è a rischio (Novembre 2024)
SAN FRANCISCO - Un panel di due persone della RSA ha affrontato direttamente una domanda provocatoria: la sicurezza del software è una perdita di tempo per la maggior parte delle aziende?
Nessuno stava suggerendo che le aziende dovrebbero ignorare i bug nei loro prodotti, ma la domanda era più su come e quando si dovrebbero verificare le correzioni.
Microsoft, Adobe e alcune altre aziende sostengono un ciclo di vita dello sviluppo software sicuro, in cui i problemi di sicurezza vengono affrontati in tutte le fasi dello sviluppo. Ci sono ancora molte aziende che credono che il tempo e il denaro spesi per queste iniziative di sicurezza del software possano essere utilizzati altrove, ed è più nel loro interesse correggere i bug dopo la spedizione dei prodotti.
Da un lato, ci sono aziende come Adobe, che hanno a che fare con aggressori intenzionati a sfruttare le vulnerabilità del software. "Un exploit che funziona contro Reader o Flash mette a rischio più di un miliardo di computer", ha dichiarato Brad Arkin di Adobe sul pannello. "Il costo per ottenere quelle correzioni è così alto che dobbiamo investire tutto il possibile per risolvere quei problemi prima di spedire", ha detto.
E dall'altra parte, ci sono aziende che non vedranno mai un ritorno sugli investimenti nell'implementazione di iniziative di sviluppo di software sicuro, secondo il coordinatore John Viega, vicepresidente esecutivo di SilverSky, precedentemente Perimeter E-Security. "Per la maggior parte delle aziende sarà molto più economico e servirà i loro clienti molto meglio se non fanno nulla fino a quando non succede qualcosa. Farai meglio ad aspettare che il mercato ti spinga a farlo", ha detto Viega.
Troppo caro
Viega non era solo contrario e in disaccordo con l'Arkin di Adobe. In precedenza ha lavorato sulla sicurezza dei prodotti presso McAfee e "per quanto potessimo misurare, è stato un assoluto spreco di denaro", ha affermato.
Ad esempio, un anno, McAfee ha rivelato pubblicamente tre difetti di sicurezza, che sono costati meno di $ 50.000 da affrontare, ha affermato Viega. La figura includeva tutte le comunicazioni e il tempo impiegato per sviluppare e testare la correzione. Al contrario, un programma completo di sicurezza del software, al contrario, costa all'azienda milioni di dollari in costi diretti e ancora di più in costi indiretti, come la perdita di produttività, ha affermato. Per quanto ne sapeva, la compagnia "rendeva il lavoro del cattivo un po 'più costoso", ma non abbastanza per giustificare i costi.
"C'è un'intera classe di aziende in cui non ha senso fare nulla", ha detto Viega.
Sebbene la sicurezza sia importante, non dovrebbe essere la forza trainante, ha suggerito Viega. Ha confrontato la situazione con l'industria automobilistica. Se la sicurezza fosse la "più fondamentale", allora "avremmo auto che non andranno più di 5 miglia all'ora", ha detto. Guardare i costi economici aiuta a capire dove dovrebbero essere i compromessi.
Per Adobe, aspettare in giro è troppo costoso, quindi assicurano che la sicurezza del software sia una parte importante del processo di sviluppo del prodotto, dal concetto, progettazione, codifica, test e distribuzione. La società organizza una formazione approfondita sulla sicurezza per tutti i suoi ingegneri, indipendentemente dalle competenze e dal livello di esperienza, per garantire che tutti guardino alla sicurezza in modo unificato.
Risolvere ogni piccolo bug
Arkin è stato attento a sottolineare che mentre la società ha trascorso una notevole quantità di tempo e risorse per trovare e correggere le vulnerabilità durante il processo di sviluppo, l'obiettivo non era quello di eliminare ogni singolo bug possibile. È stato un migliore utilizzo dell'energia e dei soldi del team per affrontare le categorie di bug, ha affermato.
"Se stai risolvendo ogni piccolo bug, stai sprecando il tempo che avresti potuto usare per mitigare intere classi di bug", ha detto.
I clienti in genere non hanno modo di sapere quale azienda è una società di spedizione o riparazione, ha affermato Viega. Gli acquirenti non sono abbastanza esperti e non pensano sempre alla sicurezza dell'applicazione quando valutano i loro acquisti, ha detto. "Ehi, la gente usa ancora Adobe", ha detto Viega.
Potrebbe esserci una sorta di standard per dire se un determinato software è un prodotto "fix it" o no? Viega non ha escluso la possibilità, osservando che anche una bottiglia d'acqua ha un'etichetta con le informazioni nutrizionali stampate.