Videó: RSA алгоритм. Шифровка. Информационная безопасность, криптография, тайнопись. Простые числа. (November 2024)
SAN FRANCISCO - egy két személyes RSA konferenciapanel egy provokatív kérdést vezetett befejezetten: A szoftverek biztonsága időveszteség-e a legtöbb vállalat számára?
Senki sem javasolta, hogy a vállalatok figyelmen kívül hagyják termékeik hibáit, ám inkább a kérdés az volt, hogy hogyan és mikor kell javításokat végrehajtani.
A Microsoft, az Adobe és néhány másik cég egy biztonságos szoftverfejlesztési életciklus mellett szól, ahol a biztonsági kérdésekkel a fejlesztés minden szakaszában foglalkoznak. Még mindig sok vállalat úgy gondolja, hogy az ezekre a szoftverbiztonsági kezdeményezésekre fordított időt és pénzt máshol is felhasználhatnák, és inkább az az érdekük, hogy a hibákat csak a termékek szállítása után javítsák ki.
Egyrészt vannak olyan vállalatok, mint az Adobe, akiknek elkötelezett támadókkal kell foglalkozniuk, akik a szoftver sebezhetőségének kihasználására törekszenek. "A Reader vagy a Flash ellen működő kizsákmányolás több mint egymilliárd számítógépet veszélyeztet" - mondta az Adobe Brad Arkin a panelen. "A javítások költsége annyira magas, hogy mindent meg kell fektetnünk a problémák megoldásához, mielőtt kiszállítanánk" - mondta.
És a másik oldalon vannak olyan vállalatok, amelyek soha nem fognak megtérülni a biztonságos szoftverfejlesztési kezdeményezések megvalósításához szükséges befektetésekről - mondta John Viega, a SilverSky ügyvezető alelnöke, korábban a Perimeter E-Security. "A legtöbb vállalat számára sokkal olcsóbb lesz, és sokkal jobban szolgálja ügyfeleit, ha nem tesznek semmit, amíg valami meg nem történik. Jobban várod, ha arra vár, hogy a piac nyomást gyakorol neked" - mondta Viega.
Túl drága
Viega nemcsak ellentétes volt, és nem értett egyet az Adobe Arkinjával. Korábban a McAfee-nél a termékbiztonságon dolgozott, és "amennyire mérhetjük, abszolút pénz pazarlás volt" - mondta.
Például, egy évben a McAfee-nek három, a nyilvánosság számára nyilvánosságra hozott biztonsági hibája volt, amelyek kezelése összesen kevesebb, mint 50 000 dollárba kerül - mondta Viega. Ez a szám tartalmazza az összes kommunikációt és a javítás teszteléséhez szükséges időt. Ezzel szemben egy átfogó szoftverbiztonsági program a társaság számára millió dollárba kerül közvetlen költségekkel, és még inkább közvetett költségekkel, például a termelékenység elvesztésével - mondta. Amennyire el tudta mondani, a társaság "egy kissé drágábbá tette a rosszfiú munkáját", de nem volt elég a költségek igazolásához.
"Van egy egész vállalatcsoport, ahol nincs értelme semmit tenni" - mondta Viega.
Noha a biztonság fontos, nem szabad, hogy ez mozgatórugója legyen - javasolta Viega. Összevette a helyzetet az autóiparral. Ha a biztonság lenne a "legfontosabb", akkor "olyan autóink lennének, amelyek óránként nem haladják meg az 5 mérföldet" - mondta. A gazdasági költségek áttekintése segít kitalálni, hol kell a kompromisszumot tenni.
Az Adobe számára a várakozás túlságosan drága, ezért megbizonyosodnak arról, hogy a szoftver biztonsága a termékfejlesztési folyamat nagy részét képezi, a koncepciótól, a tervezéstől, a kódolástól, a teszteléstől és a telepítéstől kezdve. A társaság kiterjedt biztonsági képzéseket folytat minden mérnökének, tekintet nélkül a készségekre és a tapasztalatok szintjére, annak biztosítása érdekében, hogy mindenki egységesen vizsgálja meg a biztonságot.
Minden apró hiba javítása
Arkin óvatosan rámutatott, hogy bár a vállalat jelentős időt és erőforrásokat töltött fel a fejlesztési folyamat során a sebezhetőségek felkutatására és kijavítására, a cél nem az volt, hogy minden lehetséges hibát kijavítsanak. Ez a csapat energiájának és pénzének jobb felhasználása volt a hibák kategóriáinak kezelésére - mondta.
"Ha minden apró hibát kijavít, pazarolja az időt, amelyet felhasználhatott volna a hibák egész osztályának enyhítésére" - mondta.
Az ügyfelek általában nem tudják megtudni, hogy melyik hajó vagy javító társaság - mondta Viega. A vásárlók nem elég hozzáértőek, és vásárlásuk értékelésekor nem mindig gondolkodnak az alkalmazás biztonságán. "Hé, az emberek továbbra is használják az Adobe alkalmazást" - mondta Viega.
Létezik-e valamilyen szabvány, amely megmondja, hogy egy adott szoftver "javítás" -es termék vagy sem? Viega nem zárta ki a lehetőséget, megjegyezve, hogy még egy üveg vízhez is van címke táplálkozási információkkal nyomtatva.
