Dva ze tří šéfů zabezpečení jsou přesvědčení, že technický dluh, tedy rozdíl mezi tím, co je potřeba v projektu zvládnout, a tím, co se nakonec nasadí, je významnou příčinou bezpečnostních zranitelností, plyne ze zprávy 2021 Voice of the CISO, kterou sponzorovala společnost Proofpoint.
Většina technického dluhu vzniká zkratkami při tvorbě klíčových aspektů, jako jsou architektura, kvalita kódu, výkon, použitelnost a nakonec také zanedbaná bezpečnost, prohlašuje Jeff Williams, technologický ředitel společnosti Contrast Security, která je poskytovatelem platformy pro zabezpečení aplikací.
„Mnoho větších organizací má ve svých systémech správy zranitelností tisíce, či dokonce desetitisíce zjištěných, ale nezmírněných rizik,“ popisuje. „V mnoha oborech bují zákeřná myšlenka, že podfinancované bezpečnostní úsilí spolu s řízením rizik jsou dohromady téměř stejně dobré jako zajištění potřebného zabezpečení, což je velký omyl.“ Je to přístup, který podniky a jejich partnery vystavuje významným škodám, varuje Williams.
Minimalizace bezpečnostních dopadů technického dluhu začíná pochopením různých způsobů, jak mohou špatné projekty otevřít dveře vetřelcům a útočníkům a jak lze rychle objevit zranitelnosti a bezpečně je eliminovat.
Zde je sedm způsobů, jak se může technický dluh stát problémem.
1. Nevyzpytatelný software
Technický dluh je nadužívaným termínem, prohlašuje Rahul Telang, profesor informačních systémů Heinzovy fakulty informačních systémů na Carnegie-Mellonově univerzitě.
„V podstatě to znamená, že jste si něco vypůjčili, abyste dokázali produkt vydat, a nyní musíte tento dluh splatit,“ vysvětluje. „Není těžké si představit, že pokud jej nezaplatíte rychle, zvyšujete bezpečnostní riziko.“
Telang poznamenává, že by si bezpečnostní manažeři měli uvědomit, že každý projekt vývoje softwaru prochází fázemi, kdy časem dochází k přepracování kódu, aby se tím vyřešily potenciální bezpečnostní mezery.
CISO musejí mít zavedenou strukturu pro detekci možných problémů před nasazením, protože je snadné to opominout, když se už produkt používá.
Ryan Davis, bezpečnostní šéf ve společnosti NS1, která je vývojářem technologií pro správu provozu a DNS, je přesvědčen, že softwarem vytvořený technický dluh představuje největší riziko pro zabezpečení firem.
„Zahrnuje to položky, které jsou odvozené ze zdrojů mimo organizaci, jako jsou programovací jazyky, knihovny třetích stran a další komponenty integrované v softwaru, stejně jako primární kód napsaný vlastními vývojáři,“ popisuje.
Software časem stárne a je potřeba periodicky vydávat záplaty, které odstraňují chyby a bezpečnostní problémy. Nakonec však každý software dosáhne konce životního cyklu, kdy už jej jeho tvůrce nadále nepodporuje.
V některých případech bohužel může být obtížné ošetřit současný softwarový produkt, protože jeho vývojář buď nabídku zrušil, nebo přestal existovat. Když se to stane, další provoz zastaralého softwaru vytváří riziko nebezpečného technického dluhu, protože útočníci mohou objevit nové způsoby, jak software zneužít.
A důsledky mohou být zničující. „Viděli jsme mnoho příkladů z reálného světa, jak může stav zabezpečení softwaru od jedné firmy postihnout tisíce organizací po celém světě,“ popisuje Davis.
2. Slabá správa
Solidní správa je nezbytností, aby se technický dluh nestal bezpečnostním problémem. David Chaddock, ředitel kyberbezpečnostní praxe společnosti West Monroe, je přesvědčen, že je důležité zajistit, aby se celý životní cyklus aktiva řešil již během počátečního návrhu a implementace včetně dlouhodobých provozních nákladů a podpůrných zdrojů potřebných ke snížení pravděpodobnosti, že se systém stane náhle či postupně bezpečnostním problémem. „Vyžaduje to, aby byly bezpečnostní týmy součástí procesu návrhu, a to od raných fází,“ prohlašuje.
3. Špatná podpora strategie
Ředitel zabezpečení informací by měl v rámci podniku pracovat na tom, aby došlo k pochopení technického dluhu a k vytvoření vhodných metrik pro jeho řízení, radí Eugene Okwodu, ředitel kyberbezpečnostních řešení ve společnosti Guidehouse, která je globální organizací nabízející outsourcing IT.
„Ředitel zabezpečení informací by také měl dbát na to, aby rozpočet počítal s potřebnými technickými aktualizacemi,“ dodává.
Technický dluh se často objevuje, když dochází ke střetu strategií IT a kybernetické bezpečnosti. K zajištění adekvátní podpory a vyřešení konfliktu může být nezbytné využít podporu interního oddělení řízení projektů (PMO – Project Management Office) nebo získat podporu zvenčí, konstatuje Okwodu.
4. Zanedbávání nebo zpoždění modernizace
V některých případech může trvat roky, než začne být technický dluh zřejmý. Stárnoucí technologie, hardware i software představují velké bezpečnostní riziko, varuje Okwodu.
„Nejenže je techniku v některých případech nemožné nahradit a opravit, ale obvykle je vzájemně více propojená a současný personál jí dostatečně nerozumí,“ což otevírá cestu k potenciálnímu narušení zabezpečení, vysvětluje.
Roky a někdy i desítky let zástupných řešení, aktualizací, upgradů, fúzí a akvizic mohou způsobit, že je technický dluh obzvláště problematický.
„Technický dluh, který vyžaduje drahou modernizaci systému, zejména softwarových systémů, společně se specializovanými znalostmi, jež se již u současného personálu vyskytují jen zřídka, představují významné bezpečnostní riziko pro firmy v každém oboru,“ upozorňuje Okwodu.
5. Nedodržování zdravých vývojářských postupů
DevSecOps je více než jen populární pojem. Mnoho bezpečnostních problémů lze řešit a kontrolovat, když se používají zdravé vývojářské postupy.
„Trvejte na náležitých principech DevSecOps od začátku projektů vývoje a trvejte na kontrolách, které mohou pomoci vizualizovat metriky s ohledem na bezpečnostní mezery,“ doporučuje Keatron Evans, hlavní bezpečnostní výzkumník institutu InfoSec, který nabízí technologická školení.
Jak programy rostou, obvykle se stávají užitečnějšími a široce používanými. Přesto tyto vlastnosti mohou způsobit vyšší obtížnost opravy či zmírnění bezpečnostních slabin.
„Stejná energie, která způsobuje, že kus kódu roste a stává se produktivním, užitečným a cenným, také zapříčiňuje, že přehlédnuté bezpečnostní problémy jsou z dlouhodobého hlediska více devastující,“ upozorňuje Evans.
DevSecOps automatizuje integraci zabezpečení do každé fáze životního cyklu vývoje softwaru a efektivně snižuje riziko, že by se nečekaně objevila bezpečnostní díra.
6. Zpožděné testování
Zpožďování testování zabezpečení softwaru až do pozdějších fází vývoje může vést ke zranitelnostem, které může být těžké, časově náročné a nákladné odstranit.
„Zpoždění testování až na konec procesu může vést k masivní potřebě přepracování kódu při řešení bezpečnostních otázek, což může znamenat ztrátu zisku a významné prodloužení doby vývoje,“ varuje Jeremy Dodson, ředitel zabezpečení informací společnosti NextLink Labs, která je poskytovatelem poradenských služeb pro DevOps.
Zabezpečení by mělo být společným úsilím, konstatuje Dodson. „Ředitel zabezpečení informací může hrát zásadní roli ve vytváření firemní bezpečnostní kultury, zejména v týmu vývoje,“ popisuje. „Posun v přístupu může být velmi rozsáhlý a může sahat až po integraci bezpečnostních opatření ve fázi procesů návrhu a vývoje.“
7. Nekontrolovatelná složitost
Nejčastější příčinou technického dluhu je spoléhání se na příliš mnoho vývojových jazyků, nástrojů, platforem a frameworků, popisuje Barry Goffe, hlavní ředitel strategie platformy ve společnosti OutSystems, která je poskytovatelem vývojové platformy aplikací low-code.
„Se složitostí přichází riziko chyb a kumulace tohoto nebezpečí ztěžuje identifikaci konkrétních chyb, když nastanou,“ vysvětluje. „Dokonce i když jsou problémy identifikovány, složitost způsobuje vyšší obtížnost odstranění těchto zranitelností.“
Sama složitost nezpůsobuje existenci bezpečnostních zranitelností, ale rozhodně zvyšuje pravděpodobnost, že se mohou objevit, a zvyšuje náklady spojené s jejich eliminací, popisuje Goffe.
„Vzhledem k tomu, že je složitost hlavní příčinou vedoucí k technickému dluhu, mohou se snahy o standardizaci a zjednodušení nástrojů a infrastruktury pro vývoj aplikací vysoce vyplatit díky minimalizaci nového technického dluhu,“ dodává.
Goffe považuje technický dluh za zdroj rizika a za brzdu pro inovace a bezpečnost. Podniky se po příchodu pandemie snaží dostat zpátky do normálu, takže je vhodný čas na odstraňování překážek a bezpečnostních rizik vyvolaných roky vývoje, který upřednostňoval rychlost před správností a nezohledňoval budoucí potřeby.
„Čím více se společnosti budou snažit odstranit technický dluh, tím lepší a menší bude jejich expozice vůči bezpečnostním rizikům, a tím více zvýší své šance na bezpečné inovace,“ uzavírá Goffe.
Autor: John Edwards
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.