Detta är en del av en pågående serie inlägg där vi kommer att dyka in i komplexiteten och utmaningarna som moderna SaaS-plattformar står inför. Vi kommer också att titta på hur vi kan utnyttja modern molnarkitektur för att hålla vår programvara säker och tillgänglig.
I detta blogginlägg kommer Benny Olsson, CTO på Norce, att prata om konceptet ”Secure by Design”, och betona fördelarna med ett proaktivt förhållningssätt till säkerhet och varför det är avgörande i dagens digitala landskap.
I takt med att cyberhoten blir allt mer sofistikerade är det viktigare än någonsin att anta ett "shift-left" tillvägagångssätt för säkerhet och investera i proaktiva säkerhetsåtgärder. Konceptet Secure by Design betonar ett proaktivt tillvägagångssätt för programvarusäkerhet och gör säkerhet till en prioriterad och central del genom hela programvarans livscykel. Att integrera säkerhet i hela programvarans utvecklingslivscykel kallas "Secure Software Development Lifecycle", eller förkortat: S-SDLC. Secure by Design förverkligas i S-SDLC genom hotmodellering, statisk analys och dedikerad säkerhetstestning.
Traditionellt har säkerhet i webbapplikationer ofta varit mer av en eftertanke, än något som beaktas tidigt i design- och utvecklingsfasen. Det har vanligtvis varit så att man designar och implementerar en lösning, ofta till och med implementerar den i produktionsmiljön, innan man gör någon säkerhetsinriktad testning. Jag använder termen testning i dess mest liberala form här, eftersom det som tenderar att hända är att någon kör någon form av automatiserad penetrationstestning istället för testning baserad på applikationskontext och kända risker. Det är inte ovanligt att sådan senfas-testning avslöjar grundläggande problem i implementeringen. I vilket fall så måste man antingen spendera mycket tid och resurser på att åtgärda problemet eller helt enkelt acceptera risken och låta problemet kvarstå.
Det är precis dessa typer av problem och slöseri med resurser som ett proaktivt förhållningssätt till programvarusäkerhet syftar till att åtgärda.
Det enklaste sättet att upptäcka grundläggande problem tidigt är att utnyttja befintliga processer och verktyg för hotmodellering, riskbedömning och riskanalys under design- och tidiga utvecklingsfaser av ditt projekt. En bra startpunkt är STRIDE- och DREAD-hotmodelleringramverken. Båda härstammar från Microsofts interna säkerhetsarbete. De leder intressenter och utvecklare genom en steg-för-steg-process som gör det möjligt för individer med minimal erfarenhet av säkerhet att identifiera potentiella risker och låta intressenter prioritera dem baserat på påverkningspoäng.
Att upptäcka grundläggande säkerhetsrisker under designfasen gör att du kan vidta åtgärder innan något arbete görs på implementeringen. Det förbättrar säkerheten och minskar risker för din applikation med minimal ansträngning. Det är också ett avsevärt mer kostnadseffektivt sätt att arbeta med säkerhet jämfört med ett reaktivt tillvägagångssätt, eftersom identifiering och åtgärdande av problem innan någon kod skrivs ofta kan göras med liten eller ingen extra kostnad för budgeten eller tidsplanen. Slutligen så hjälper ett proaktivt förhållningssätt till säkerhet att vinna förtroende i din community och hos dina kunder. Dessutom kan det ofta hjälpa till att minska tröskeln för efterlevnadsrelaterade initiativ, vare sig det gäller regleringskrav eller certifieringar som ISO27001 eller SOC2.
Att integrera säkerhet i din befintliga utvecklingslivscykel bör betraktas som obligatoriskt i dagens cyberhotlandskap. Oavsett vilken roll du har – produktchef, utvecklare, mjukvaruarkitekt eller CTO – är det avgörande att du antar en proaktiv inställning till säkerhet. Det finns många resurser där ute och det är lätt att bli överväldigad, men att börja smått med uppnåeliga mål och tydligt definierade ramar kommer att ta dig långt – särskilt om du precis har börjat.
Vad är dina tankar om dagens cyberhotlandskap, och skulle du hålla med om att det är vårt gemensamma ansvar att vidta åtgärder där vi kan?
I nästa blogginlägg kommer vi att titta på hur Norce tillämpar Secure by Design för Norce Commerce.
