Video: b00t2root CTF: cuz rsa is lub [RSA Cryptography] (Tháng mười một 2024)
SAN FRANCISCO Một bảng điều khiển Hội nghị RSA hai người đã giải quyết một câu hỏi khiêu khích trực tiếp: Bảo mật phần mềm có lãng phí thời gian cho hầu hết các công ty không?
Không ai đề xuất rằng các công ty nên bỏ qua các lỗi trong sản phẩm của họ, nhưng câu hỏi đặt ra là cách thức và thời điểm khắc phục sẽ xảy ra.
Microsoft, Adobe và một vài công ty khác ủng hộ vòng đời phát triển phần mềm an toàn, trong đó các vấn đề bảo mật được giải quyết trong tất cả các giai đoạn phát triển. Vẫn còn nhiều công ty tin rằng thời gian và tiền dành cho các sáng kiến bảo mật phần mềm này có thể được sử dụng ở nơi khác, và điều quan tâm hơn là chỉ sửa lỗi sau khi sản phẩm xuất xưởng.
Một mặt, có những công ty như Adobe, những người phải đối phó với những kẻ tấn công cam kết có ý định khai thác lỗ hổng trong phần mềm. "Một khai thác hoạt động chống lại Reader hoặc Flash khiến hơn một tỷ máy tính gặp rủi ro", Brad Arkin của Adobe nói trên bảng điều khiển. "Chi phí để có được những sửa chữa đó quá cao đến nỗi chúng tôi cần đầu tư mọi thứ có thể để khắc phục những vấn đề đó trước khi chúng tôi xuất xưởng, " ông nói.
Và mặt khác, có những công ty sẽ không bao giờ thấy lợi tức đầu tư khi thực hiện các sáng kiến phát triển phần mềm an toàn, theo tham luận viên John Viega, phó chủ tịch điều hành của SilverSky, trước đây là Perim E-Security. "Đối với hầu hết các công ty, nó sẽ rẻ hơn rất nhiều và phục vụ khách hàng của họ tốt hơn rất nhiều nếu họ không làm gì cho đến khi có chuyện gì xảy ra. Tốt hơn hết là chờ thị trường gây áp lực để bạn làm điều đó", Viega nói.
Quá đắt
Viega không chỉ trái ngược và không đồng ý với Arkin của Adobe. Trước đây, ông đã làm về bảo mật sản phẩm tại McAfee và "theo như chúng tôi có thể đo lường được, đó là một sự lãng phí tiền bạc tuyệt đối", ông nói.
Chẳng hạn, một năm, McAfee có ba lỗi bảo mật được tiết lộ công khai, với chi phí chưa tới 50.000 đô la để giải quyết, Viega nói. Con số bao gồm tất cả các thông tin liên lạc và thời gian thực hiện để phát triển và kiểm tra sửa chữa. Ngược lại, một chương trình bảo mật phần mềm toàn diện, ngược lại, khiến công ty tốn hàng triệu đô la chi phí trực tiếp và thậm chí nhiều hơn về chi phí gián tiếp, chẳng hạn như mất năng suất, ông nói. Theo như anh có thể nói, công ty "làm cho công việc của kẻ xấu đắt hơn một chút", nhưng không đủ để biện minh cho các chi phí.
"Có cả một nhóm các công ty, nơi nó không có ý nghĩa để làm bất cứ điều gì", Viega nói.
Mặc dù an ninh là quan trọng, nhưng nó không phải là động lực, Viega đề xuất. Ông so sánh tình hình với ngành công nghiệp ô tô. Nếu an toàn là "nhất tối quan trọng", sau đó "chúng ta sẽ có những chiếc xe đó sẽ không đi hơn 5 dặm một giờ, " ông nói. Nhìn vào chi phí kinh tế giúp tìm ra nơi đánh đổi.
Đối với Adobe, việc chờ đợi quá tốn kém, vì vậy họ đảm bảo bảo mật phần mềm là một phần chính của quy trình phát triển sản phẩm, từ khái niệm, thiết kế, mã hóa, thử nghiệm và triển khai. Công ty tiến hành đào tạo bảo mật sâu rộng cho tất cả các kỹ sư của mình, bất kể trình độ kỹ năng và kinh nghiệm, để đảm bảo mọi người đều nhìn vào an ninh một cách thống nhất.
Sửa từng lỗi nhỏ
Arkin đã cẩn thận chỉ ra rằng trong khi công ty đã dành một lượng thời gian và nguồn lực đáng kể để tìm và sửa các lỗ hổng trong quá trình phát triển, mục tiêu không phải là dập tắt mọi lỗi có thể xảy ra. Đó là một cách sử dụng tốt hơn năng lượng và tiền bạc của đội để giải quyết các loại lỗi, ông nói.
"Nếu bạn đang sửa từng lỗi nhỏ, bạn sẽ lãng phí thời gian bạn có thể sử dụng để giảm thiểu toàn bộ các lớp lỗi", ông nói.
Khách hàng thường không có cách nào để biết công ty nào là công ty ship-it hay fix-it, Viega nói. Người mua không đủ hiểu biết và họ không luôn nghĩ về tính bảo mật của ứng dụng khi đánh giá giao dịch mua của mình, ông nói. "Này, mọi người vẫn sử dụng Adobe, " Viega nói.
Có thể có một loại tiêu chuẩn nào đó để biết liệu một phần mềm nhất định có phải là sản phẩm "sửa lỗi" hay không? Viega không loại trừ khả năng, lưu ý rằng ngay cả một chai nước cũng có nhãn với thông tin dinh dưỡng được in.