Согласно новому отчету Secure Code Warrior, крупные организации, которые обучают разработчиков методам обеспечения безопасности при проектировании, могут надежно сократить количество уязвимостей, внесенных в программные продукты, более чем на 50%.
Австралийская платформа безопасного кодирования и компания-разработчик программного обеспечения. проанализировали данные от 600 корпоративных клиентов более девяти лет, чтобы выяснить, какие улучшения, если таковые имеются, могут быть измерены на основе повышения квалификации методов обеспечения безопасности при проектировании, пропагандируемых Агентством по кибербезопасности и безопасности инфраструктуры. Фирма изучила данные о снижении уязвимостей и обнаружила, что компании, в которых работают более 7000 разработчиков, прошедших обучение с использованием методов обеспечения безопасности при проектировании, могут снизить количество уязвимостей на 47–53%.
Крис Инглис, первый бывший национальный директор по кибербезопасности, заявил в интервью CyberScoop, что «по сути, подразумевалось, что нам не нужно делать эти системы безопасными по своей конструкции».
«Теперь у нас есть количественные данные, которые показывают, что это, по сути, правильный вывод: важно обеспечить безопасность задуманно», — сказал Инглис, который участвовал в подготовке отчета вместе с бывшим исполняющим обязанности национального директора по кибербезопасности Кембой Уолден.
Инициатива CISA по обеспечению безопасности — это добровольное стремление администрации Байдена переложить бремя кибербезопасности с конечных пользователей на поставщиков и производителей. Цель состоит в том, чтобы уменьшить количество кибератак со стороны мелких киберпреступников и хакеров, финансируемых государством, путем устранения известных дефектов в программных продуктах. Программа разработки продуктов также является частью национальной стратегии кибербезопасности, и с момента начала инициативы в 2023 году к ней присоединились более 200 организаций.
В отчете отмечается, что если объединить все тематические исследования, уровень снижения уязвимости составит от 20% до 80%, при этом средние показатели для небольших организаций будут выше.
Однако в отчете также показано, что без нисходящего мандата, который может принимать форму правил или директив руководителей высшего звена, методы обеспечения безопасности вряд ли будут приняты быстро. По оценкам отчета Secure Code Warrior, около 4% разработчиков во всем мире используют методы разработки CISA, обеспечивающие безопасность при проектировании.
В Национальном институте стандартов и технологий заявили, что устранение дефектов программного обеспечения во время тестирования — в отличие от следования принципам безопасности при проектировании — может занять до 15 раз больше времени, а дефекты во время развертывания могут стоить в 30–100 раз больше ресурсов, отмечается в отчете.
«Если вы не готовы делать такие инвестиции, вам не следует писать код, который используется в критической инфраструктуре. Я думаю, что в этом суть», — сказал Инглис.
В отчете также отмечается, что индустрия финансовых услуг, похоже, больше всего инвестирует в инициативу по обеспечению безопасности. Другие секторы критически важной инфраструктуры, такие как оборонно-промышленная база, здравоохранение, общественное здравоохранение, критическое производство, транспорт и ИТ-инфраструктура, также добиваются прогресса в повышении квалификации разработчиков с помощью инициатив по обеспечению безопасности.
В то же время сектор энергетики и коммуникаций не был включен в исследование, поскольку в нем обучалось менее 1000 активных разработчиков. Однако это не означает, что они отстают, считает Матиас Маду, соучредитель и технический директор Secure Code Warrior.
Маду, один из авторов отчета, сказал, что некоторые отрасли в значительной степени полагаются на ИТ-инфраструктуру для покупки программного обеспечения, поэтому у них не так много соответствующих данных. Кроме того, Маду сказал, что не имеет большого значения, строго ли регулируется этот сектор или нет.
