Dự đoán là một tá. Dưới đây là sáu xu hướng mà bạn sẽ không sớm nghe thấy.
Trong nhiều nền văn hóa, năm mới được xem là biểu tượng của hy vọng, của những khởi đầu mới. Một cơ hội để làm mới, thiết lập lại, học hỏi từ những sai lầm và tiếp thêm năng lượng cho những kế hoạch tuyệt vời. Nhưng với hơn 5 tỷ hồ sơ dữ liệu nhạy cảm bị đánh cắp vào năm 2019, tôi nghĩ sẽ chính xác hơn nếu dự đoán điều gì sẽ không sẽ xảy ra trong lĩnh vực an ninh mạng vào năm 2020. Vì vậy, tôi đã ngồi lại với người đồng sáng lập Secure Code Warrior của mình, Matias Madouvà đưa ra sáu xu hướng sau:
Việc tiêm SQL bị xóa khỏi tất cả phần mềm
Đáng buồn thay, chúng ta đã chờ đợi ngày này hơn 20 năm và chúng ta sẽ tiếp tục chờ đợi ít nhất một ngày nữa. Đó là lỗ hổng, giống như một con gián, đã sống sót qua mọi chiến thuật cho đến nay để tiêu diệt nó vĩnh viễn. Trớ trêu thay, biện pháp khắc phục đã được biết đến trong khoảng thời gian tương tự. Tuy nhiên, mức độ ưu tiên của biện pháp bảo mật tốt nhất ở mọi giai đoạn phát triển phần mềm (đặc biệt là ngay từ đầu) vẫn còn quá thấp và chắc chắn là không đủ trong bối cảnh sản xuất mã ngày càng gia tăng kể từ khi phát hiện ra kỹ thuật tiêm SQL.
Nhà phát triển và AppSec trở thành những người bạn tốt nhất
À, các nhà phát triển và nhóm AppSec. Liệu họ có thể hòa hợp với nhau hay số phận của họ là phải sống một cuộc đời đầy cạnh tranh như Rocky vs. Apollo? Câu trả lời ngắn gọn là có, họ có thể hợp nhau, nhưng hiện tại ưu tiên của họ thường rất khác nhau.
Khi gặp nhau trong môi trường dự án, họ ở các trang đối lập và xung đột ngay ở rào cản cuối cùng, khi các chuyên gia AppSec đang nghiên cứu mã của nhà phát triển. Nhà phát triển đã xây dựng các tính năng đẹp mắt, chức năng (là ưu tiên hàng đầu của họ) sẽ bị xé nát nếu phát hiện ra lỗ hổng bảo mật. Trên thực tế, chuyên gia AppSec đã gọi đứa trẻ này là xấu xí và buộc nhà phát triển phải quay lại và sửa mọi lỗi, thường khiến việc triển khai bị trì hoãn.
Ở trạng thái hiện tại của chúng tôi, điều này sẽ không được khắc phục cho đến khi cả hai nhóm cùng hướng tới một mục tiêu chung, đó là tạo ra phần mềm bảo mật. Điều này sẽ không xảy ra như một quy trình mặc định vào năm 2020, nhưng với sự ra đời của phong trào DevSecOps, các nhà phát triển bắt đầu nhận ra sự cần thiết phải nâng cao kỹ năng về bảo mật và làm việc theo tiêu chuẩn cao hơn bao gồm các mục tiêu bảo mật ngay từ đầu.
Nguồn cung quá mức của các chuyên gia bảo mật
Vào năm 2020, 2025, 2030… gần như chắc chắn rằng chúng ta sẽ thiếu nhân sự trên toàn cầu về chuyên môn bảo mật. Theo báo cáo từ (ISC)2, có xung quanh 2.93 triệu vị trí an ninh mạng hiện chưa được lấp đầy. Điều này gần như chắc chắn sẽ trở nên tồi tệ hơn trước khi nó trở nên tốt hơn, và không có đội quân an ninh ẩn nào đang chờ hành quân để giải cứu chúng ta trong năm nay.
Trước mắt, cơ hội tốt nhất của chúng tôi để giải quyết tình trạng thiếu kỹ năng là đặt vấn đề bảo mật thành ưu tiên của tổ chức và nâng cao kỹ năng cho lực lượng lao động hiện tại của chúng tôi, nghĩa là trao quyền cho các nhà phát triển bằng chương trình đào tạo và công cụ để viết mã an toàn cũng như tạo ra văn hóa bảo mật toàn công ty. Hầu hết các nhóm AppSec hiện tại có thể đang chiến đấu chống lại các lỗi bảo mật cũ, nổi tiếng (xem điểm đầu tiên ở trên). Nếu chúng tôi đảm bảo rằng họ không phải tốn thời gian và công sức quý báu để khắc phục những sự cố phổ biến này, thì họ sẽ có nhiều băng thông hơn để tập trung vào các vấn đề bảo mật khó khăn như API và xây dựng các công cụ phù hợp với quy trình phát triển.
Sản xuất ít mã hơn
Thế giới đang được số hóa với tốc độ đáng kinh ngạc và nhu cầu xã hội sẽ không hề dao động. Có khoảng 111 tỷ dòng mã được viết mỗi năm và con số này sẽ ngày càng lớn hơn và đáng sợ hơn đối với các nhóm AppSec vốn đã quá căng thẳng.
Giảm hồ sơ dữ liệu bị đánh cắp
Nhiều mã hơn có nghĩa là có nhiều lỗ hổng hơn và điều này tạo ra nhiều cơ hội hơn cho những kẻ tấn công tìm cách đánh cắp dữ liệu. Ít nhất 5.3 tỷ hồ sơ bị đánh cắp trên toàn thế giới vào năm 2019và việc phòng thủ trước những kẻ tấn công vẫn còn là một cuộc tranh giành mang tính phản ứng và tuyệt vọng. Con số này có thể không tăng gấp đôi vào năm 2020, nhưng tôi nghĩ nó sẽ đến gần.
Theo nghiên cứu của Statistica, số vụ vi phạm có xu hướng gia tăng và số lượng hồ sơ bị đánh cắp ở Mỹ, đạt mức cao nhất vào năm 2017. Số vụ tấn công có xu hướng giảm vào năm 2018, có lẽ do các biện pháp an ninh chặt chẽ hơn, nhưng số lượng hồ sơ thu được là cao nhất từ trước đến nay. Trong tương lai, các cuộc tấn công mạng sẽ ngày càng trở nên phức tạp và có quy mô lớn và chúng sẽ không sớm biến mất.
Các nhà phát triển yêu cầu đào tạo bảo mật dựa trên video lâu hơn và thường xuyên hơn
Nếu có một điều mà các nhà phát triển yêu thích thì đó là việc xem hàng giờ các video đào tạo trên máy tính. Trên thực tế, trước nhu cầu về nội dung hấp dẫn này, Netflix sẽ công bố một danh mục phụ hoàn toàn mới dành riêng cho các video đào tạo chung về bảo mật.
Ờ, không. Không phải bây giờ, không phải vào năm 2020, không bao giờ. Đối với các nhà phát triển, việc giới thiệu về bảo mật thường thông qua đào tạo về tuân thủ tại nơi làm việc. Mã hóa an toàn hiếm khi là một phần trong chương trình giáo dục đại học của họ và đào tạo tại chỗ có thể là lần đầu tiên họ tiếp cận với bảo mật phần mềm. Và không có gì ngạc nhiên khi họ thường không thích điều đó.
Để các nhà phát triển coi trọng vấn đề bảo mật — và để việc đào tạo trở nên hữu ích — thì bảo mật phải phù hợp, hấp dẫn và phù hợp với công việc của họ. Đào tạo về tuân thủ một lần — hoặc vô số video buồn tẻ — không phải là con đường đi đến trái tim của nhà phát triển và nó sẽ không làm giảm các lỗ hổng.
Nếu bạn muốn các nhà phát triển có cơ hội trở thành lực lượng phòng thủ có nhận thức về bảo mật chống lại các lỗ hổng phổ biến, hãy yêu cầu họ làm việc với các ví dụ mã thực — loại mà họ sẽ gặp trong công việc hàng ngày của mình. Làm cho việc học có quy mô vừa phải, dễ dàng xây dựng và khuyến khích nó bằng cảm giác vui vẻ. Để văn hóa bảo mật phát triển mạnh, nó phải tích cực, hấp dẫn và phát triển các kỹ năng cũng như giải pháp thực sự trong toàn tổ chức.
Không có trường hợp tử vong nào do sự cố liên quan đến an ninh mạng
Đây rõ ràng không phải là chuyện đáng cười. Tôi đã nói nhiều lần rằng thế giới sẽ không quan tâm đến an ninh mạng cho đến khi mọi người bắt đầu chết vì một sự cố liên quan đến tấn công mạng. Vấn đề là điều này đã xảy ra rồi và hầu như không được chú ý.
Tấn công mạng vào bệnh viện Mỹ có liên quan đến sự gia tăng số ca tử vong do đau tim trong năm 2019. Tất nhiên, những kẻ tấn công không gây ra các biến cố tim mạch chết người ở bệnh nhân, nhưng các cuộc tấn công ransomware của chúng vào hệ thống và thiết bị bệnh viện đã làm chậm thời gian điều trị cho các ca chăm sóc quan trọng. Cái này nghiên cứu từ Đại học Trung tâm Florida đã phân tích 3,000 bệnh viện, 311 trong số đó đã bị vi phạm dữ liệu. Ở những người bị ảnh hưởng bởi sự cố an ninh, nhân viên y tế mất trung bình nhiều hơn 2.7 phút để cung cấp ECG cho nạn nhân bị nghi ngờ đau tim, có thể là do những thay đổi về quy trình, các biện pháp bảo mật mới được triển khai và các vấn đề hỗ trợ CNTT chiếm nhiều thời gian hơn trước đó. trước đó. Việc xác định và điều trị cơn đau tim là một cuộc chạy đua với thời gian và trung bình mỗi năm có thêm 36 ca tử vong trên 10,000 ca đau tim.
Ít hình ảnh có sẵn hơn về “Hackers trùm đầu”
Nếu bạn gõ “hacker” vào một tìm kiếm hình ảnh, chắc chắn bạn sẽ phát hiện ra hàng nghìn hình ảnh về một nhân vật trùm đầu, không có khuôn mặt đang gõ máy tính xách tay hoặc một nhân vật tương tự đeo mặt nạ Guy Fawkes. Hình ảnh rập khuôn này của một hacker ngày càng trở nên nhàm chán và khiến mọi người trông như kẻ xấu. Có rất nhiều chàng trai và cô gái tốt về bảo mật, và những ý nghĩa tiêu cực xung quanh hình ảnh hacker khiến mọi người trở nên bất lợi.
Tôi có thấy điều này thay đổi vào năm 2020 không? Có lẽ là không, nhưng thật tuyệt khi được mơ. Hiện tại, điều quan trọng cần nhớ là an ninh không cần phải đáng sợ.
Nội dung liên quan:
Pieter Danhieux là chuyên gia bảo mật được công nhận trên toàn cầu, với hơn 12 năm kinh nghiệm làm cố vấn bảo mật và 8 năm là Giảng viên chính của SANS giảng dạy các kỹ thuật tấn công về cách nhắm mục tiêu và đánh giá các tổ chức, hệ thống và cá nhân về bảo mật … Xem Full Bio
Thông tin chi tiết
