Acasă Securitywatch Rsa: securitatea software este o pierdere de timp?

Rsa: securitatea software este o pierdere de timp?

Video: Cum sa fii in siguranta pe Internet (Noiembrie 2024)

Video: Cum sa fii in siguranta pe Internet (Noiembrie 2024)
Anonim

SAN FRANCISCO - Un grup de conferințe RSA format din două persoane a abordat o întrebare provocatoare: „Securitatea software-ului este o pierdere de timp pentru majoritatea companiilor?

Nimeni nu sugera că companiile ar trebui să ignore bug-urile din produsele lor, dar întrebarea era mai mult despre cum și când ar trebui să apară corecțiile.

Microsoft, Adobe și alte câteva companii pledează pentru un ciclu de viață de dezvoltare software sigur, în care problemele de securitate sunt abordate în toate fazele de dezvoltare. Există încă multe companii care cred că timpul și banii cheltuiți în aceste inițiative de securitate software ar putea fi utilizate în altă parte și este mai mult în interesul lor să remedieze erorile după livrarea produselor.

Pe de o parte, există companii precum Adobe, care trebuie să se ocupe de atacatorii angajați care intenționează să exploateze vulnerabilitățile software-ului. "Un exploit care funcționează împotriva Reader sau Flash pune mai mult de un miliard de calculatoare în pericol", a spus Brad Arkin de la Adobe. "Costul pentru efectuarea acestor remedieri este atât de mare încât trebuie să investim tot ce putem pentru a remedia aceste probleme înainte de expediere", a spus el.

Și pe de altă parte, există companii care nu vor vedea niciodată un randament al investițiilor în implementarea inițiativelor sigure de dezvoltare a software-ului, potrivit panelistului John Viega, vicepreședinte executiv al SilverSky, fost Perimeter E-Security. "Pentru majoritatea companiilor va fi mult mai ieftin și își va servi clienții mult mai bine dacă nu fac nimic până nu se întâmplă ceva. Ești mai bine să aștepți ca piața să facă presiuni asupra ta pentru a o face", a spus Viega.

Prea scump

Viega nu era doar contrară și nu era de acord cu Arkin-ul Adobe. El a lucrat anterior la securitatea produselor la McAfee și „în măsura în care am putea măsura, a fost o pierdere absolută de bani”, a spus el.

De exemplu, un an, McAfee a prezentat trei defecte de securitate publicate, care au costat mai puțin de 50.000 de dolari pentru a face față, a spus Viega. Cifra includea toate comunicațiile și timpul necesar pentru a dezvolta și testa remedierea. În schimb, un program cuprinzător de securitate software, în schimb, a costat companiei milioane de dolari în costuri directe și chiar mai mult în costuri indirecte, cum ar fi pierderea productivității, a spus el. În măsura în care a putut spune, compania "a făcut meseria celui rău un pic mai scump", dar nu suficient pentru a justifica costurile.

"Există o întreagă clasă de companii în care nu are sens să faci nimic", a spus Viega.

Deși securitatea este importantă, nu ar trebui să fie forța motrice, a sugerat Viega. El a comparat situația cu industria auto. Dacă siguranța ar fi „cea mai importantă”, atunci „am avea mașini care nu vor merge mai mult de 5 mile pe oră”, a spus el. Analizarea costurilor economice ajută la descoperirea locurilor care ar trebui să fie compromise.

Pentru Adobe, așteptarea este prea scumpă, astfel încât să se asigure că securitatea software-ului este o parte majoră a procesului de dezvoltare a produselor, de la concept, design, codare, testare și implementare. Compania desfășoară o pregătire extinsă pentru securitate pentru toți inginerii săi, indiferent de nivelul de competență și experiență, pentru a se asigura că toată lumea se uită la securitate într-un mod unificat.

Remediază fiecare mică eroare

Arkin a avut grijă să sublinieze că, în timp ce compania a petrecut o cantitate semnificativă de timp și resurse pentru găsirea și remedierea vulnerabilităților în timpul procesului de dezvoltare, obiectivul nu a fost să ștergem fiecare eroare posibilă. Acesta a spus că a fost o mai bună utilizare a energiei și a banilor echipei pentru a aborda categorii de erori.

„Dacă rezolvați fiecare mic eroare, pierdeți timpul pe care l-ați putea obișnui pentru a atenua clase întregi de erori”, a spus el.

În general, clienții nu au cum să știe ce companie este o companie navală sau fixă, a spus Viega. A spus el, cumpărătorii nu sunt suficient de pricepuți și nu se gândesc întotdeauna la securitatea aplicației. „Hei, oamenii încă mai folosesc Adobe”, a spus Viega.

Ar putea exista un fel de standard care să spună dacă un software dat este sau nu un produs „fix it”? Viega nu a exclus această posibilitate, menționând că chiar și o sticlă de apă are o etichetă cu informații nutriționale tipărite.

Rsa: securitatea software este o pierdere de timp?