ช่องว่างด้านความปลอดภัยที่เป็นอันตรายของ Start up
2022.10.11
ช่องว่างด้านความปลอดภัยที่เป็นอันตรายของ Start up
ช่องโหว่ของซอฟต์แวร์คือความหายนะของทีมรักษาความปลอดภัยทุกทีม ช่องโหว่ที่เพิ่งค้นพบสามารถเปลี่ยนผลิตภัณฑ์ซอฟต์แวร์ที่สำคัญให้กลายเป็นระเบิดเวลาที่รอการใช้ประโยชน์ ผู้ปฏิบัติงานด้านความปลอดภัยและทีมไอทีที่ได้รับมอบหมายให้ปกป้ององค์กรของตนจะต้องระบุและบรรเทาช่องโหว่ใหม่ๆ อย่างต่อเนื่อง ก่อนที่การปรากฏตัวของพวกเขาจะส่งผลให้เกิดการละเมิด
ความสำคัญของช่องโหว่และการจัดการแพตช์เป็นที่เข้าใจกันดีในด้านความปลอดภัยของข้อมูล อย่างไรก็ตาม ผู้ที่เข้าใจน้อยกว่าคือปัจจัยที่นำไปสู่การแนะนำและการแพร่กระจายของช่องโหว่ของซอฟต์แวร์อย่างต่อเนื่อง ซึ่งทำให้ผลิตภัณฑ์ซอฟต์แวร์เกือบทุกชนิดและองค์กรที่พึ่งพาพวกเขา
โดยเฉพาะอย่างยิ่ง วัฒนธรรมการเริ่มต้นปัจจุบัน สิ่งจูงใจและความคาดหวังโดยรอบโครงการซอฟต์แวร์ใหม่ที่มีขนาดเล็กกว่า ได้สร้างข้อบกพร่องที่หยั่งรากลึกในการพัฒนาและนำซอฟต์แวร์ออกสู่ตลาด ข้อบกพร่องเหล่านี้ไม่เพียงแต่นำไปสู่ช่องโหว่ที่หลีกเลี่ยงได้ในซอฟต์แวร์ที่ผลิตโดยทีมขนาดเล็กเท่านั้น แต่ยังส่งผลกระทบในวงกว้างในอุตสาหกรรมเทคโนโลยีทั้งหมด และบังคับให้ผู้ใช้ยอมรับข้อมูลและการละเมิดความเป็นส่วนตัวตามความเป็นจริงของชีวิต
อุตสาหกรรมซอฟต์แวร์มีการพัฒนาอย่างมากในช่วงทศวรรษที่ผ่านมา และการเปลี่ยนแปลงส่วนใหญ่มุ่งเน้นไปที่ด้านหนึ่ง: ความเร็ว แนวคิดของซอฟต์แวร์และธุรกิจ เช่น การพัฒนา Agile, sprints, Lean startup และแม้แต่ “fail fast” นั้นถูกใช้เป็นบรรทัดฐานโดยหลายทีม และตามชื่อที่แนะนำ พวกเขาทั้งหมดมุ่งหวังที่จะเร่งการพัฒนาผลิตภัณฑ์ ในอุตสาหกรรมซอฟต์แวร์ที่มีการแข่งขันสูงซึ่งมีอุปสรรคในการเข้าร่วมน้อยกว่าที่เคย และดูเหมือนว่าทุกคนจะมีแนวคิดในการเริ่มต้น นำผลิตภัณฑ์และคุณสมบัติออกสู่ตลาดก่อนที่คู่แข่งจะสามารถสร้างหรือทำลายบริษัทได้
ระบบรักษาความปลอดภัยพยายามดิ้นรนเพื่อหาที่แข่งขันสำหรับบริษัทต่างๆ ในการหาแหล่งเงินทุน ค้นหาความเหมาะสมของตลาดผลิตภัณฑ์ และได้รับแรงฉุดในขั้นต้น พูดง่ายๆ ก็คือ สตาร์ทอัพได้รับแรงจูงใจจากภายในและภายนอกให้ใช้เวลาและความพยายามให้น้อยที่สุดกับความปลอดภัยของซอฟต์แวร์
มีบริษัทสตาร์ทอัพเพียงไม่กี่รายที่มีความหรูหราในการนำวิสัยทัศน์ของผู้ก่อตั้งออกสู่ตลาดโดยไม่ต้องพึ่งพาเงินทุนและทรัพยากรจากภายนอก ทีมผู้ก่อตั้งมักจะทำงานเพื่อผลประโยชน์ส่วนตัว โดยไม่ได้รับเงินเดือนที่ร่ำรวยในบริษัทที่จัดตั้งขึ้นมากกว่า และจุ่มลงในเงินออมส่วนตัวเพื่อเริ่มต้นบริษัท สำหรับสตาร์ทอัพที่ไม่มีเงินทุน 100% ของทรัพยากรจะเน้นไปที่การได้รับเงินทุนเริ่มต้น
จุดที่สตาร์ทอัพสามารถเริ่มระดมทุนได้จะแตกต่างกันไปขึ้นอยู่กับคุณสมบัติของผู้ก่อตั้ง สำหรับสตาร์ทอัพที่สร้างขึ้นโดยผู้ประกอบการรุ่นเยาว์และไม่รู้จัก มักจะหมายความว่าทีมผู้ก่อตั้งต้องมีผลิตภัณฑ์ที่ใช้งานได้และมีฐานผู้ใช้ที่เติบโตขึ้นก่อนจึงจะสามารถได้รับเงินลงทุนที่จำเป็นในการขยายทีมพัฒนาให้มากกว่าสมาชิกผู้ก่อตั้งเพียงไม่กี่ราย
ภายใน ข้อกำหนดการพัฒนาอย่างรวดเร็วผลักดันให้วิศวกรใช้ทางลัด ซึ่งมักอาศัยไลบรารีที่ไม่ได้รับการตรวจสอบและการคัดลอก/วางโค้ด สำหรับการเริ่มต้นแบบลีน การมีวิศวกรความปลอดภัยเฉพาะไม่ใช่ทางเลือก ความปลอดภัยของผลิตภัณฑ์จึงเป็นความรับผิดชอบของวิศวกรซอฟต์แวร์ที่มีประสบการณ์มากที่สุด ซึ่งอาจไม่มีความชำนาญหรือแบนด์วิดธ์ในการจัดลำดับความสำคัญ สำหรับทีมผู้ก่อตั้งที่ต้องการผู้ใช้ที่มีอยู่ก่อนจึงจะสามารถรับเงินทุนได้ นี่อาจหมายถึงการทำให้ข้อมูลผู้ใช้ตกอยู่ในความเสี่ยง
ภายนอก นักลงทุนรายแรกในบริษัทสตาร์ทอัพไม่สนใจในเรื่องความปลอดภัยของซอฟต์แวร์อย่างชัดเจน และไม่มีแรงจูงใจที่จะเรียนรู้หรือกังวลเกี่ยวกับความปลอดภัยของซอฟต์แวร์ ผู้ใช้เริ่มต้นอาจถามคำถามเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ แต่โดยทั่วไปจะจำกัดเฉพาะข้อกังวลเรื่องความเป็นส่วนตัว สำหรับผลิตภัณฑ์ B2B ลูกค้าองค์กรระดับเริ่มต้นที่มีนโยบายความปลอดภัยของซัพพลายเออร์ที่แข็งแกร่งอาจพิจารณาการออกแบบความปลอดภัยของผลิตภัณฑ์อย่างละเอียด อย่างไรก็ตาม พวกเขาจะเลิกลงทุนด้วยเงินทุนของตนเองในการสร้างผลิตภัณฑ์ซอฟต์แวร์ที่มีแนวโน้มว่าจะปลอดภัยยิ่งขึ้น
การขาดสิ่งจูงใจในการลงทุนในช่วงต้นของการรักษาความปลอดภัยซอฟต์แวร์ถือเป็นความจริง ไม่เพียงแต่สำหรับสตาร์ทอัพเชิงพาณิชย์เท่านั้น แต่ยังรวมถึงนักพัฒนาซอฟต์แวร์โอเพ่นซอร์สด้วย แม้แต่ไลบรารีโอเพนซอร์สที่ใช้กันอย่างแพร่หลายและเป็นที่รู้จักมากที่สุดก็มักได้รับการสนับสนุนจากทีมขนาดเล็กมากที่มีทรัพยากรจำกัด ตามทฤษฎีแล้ว ชุมชนโอเพ่นซอร์สได้รับเชิญให้ประเมินและปรับปรุงความปลอดภัยของห้องสมุด แต่ผลลัพธ์จะแตกต่างกันอย่างมากโดยไม่มีแรงจูงใจทางการเงินให้ทำเช่นนั้น ในทศวรรษที่ผ่านมา ช่องโหว่ที่มีการแพร่กระจายอย่างกว้างขวางที่สุดบางส่วนเชื่อมโยงกับไลบรารีโอเพนซอร์ซที่ใช้โดยผลิตภัณฑ์เชิงพาณิชย์จำนวนมาก
เช่นเดียวกับไลบรารีโอเพนซอร์ซ โค้ดที่พัฒนาโดยบริษัทสตาร์ทอัพในที่สุดก็เข้าสู่ผลิตภัณฑ์ซอฟต์แวร์สำหรับผู้ใหญ่ที่จำหน่ายโดยบริษัทขนาดใหญ่ บ่อยครั้งเมื่อถึงจุดนี้ ช่องโหว่ที่เริ่มใช้ในระหว่างการพัฒนาอย่างรวดเร็วโดยทีมเล็กๆ กลายเป็นปัญหาที่ส่งผลกระทบต่อองค์กรระดับโลก การขาดแรงจูงใจในการลงทุนด้านความปลอดภัยในฐานะทีมเล็ก ๆ ยังไม่ได้รับการแก้ไขจนกว่าจะสายเกินไป
แรงกดดันของตลาดที่ทำให้บริษัทซอฟต์แวร์ไม่สามารถปรับปรุงความปลอดภัยของผลิตภัณฑ์ของตนได้ จะทำให้มั่นใจได้ว่าช่องโหว่ที่ป้องกันได้ยังคงเป็นภัยคุกคามต่อไป จนกว่าจะมีการเปลี่ยนแปลงวัฒนธรรมครั้งใหญ่ นักพัฒนา นักลงทุน ผู้ใช้ และผู้มีส่วนได้ส่วนเสียในการควบรวมกิจการต้องเข้าใจการเปิดเผยและความรับผิดชอบเกี่ยวกับช่องโหว่ของซอฟต์แวร์ให้ดียิ่งขึ้น
ตัวขับเคลื่อนที่ทรงพลังที่สุดตัวเดียวสำหรับการเปลี่ยนแปลงนี้น่าจะเป็นระดับที่ตลาดมีบริษัทที่รับผิดชอบต่อการประนีประนอมอันเป็นผลมาจากช่องโหว่ในซอฟต์แวร์ของตน ด้วยตัวชี้วัดนี้ การเปลี่ยนแปลงได้เกิดขึ้นแล้ว ในขณะที่ปีก่อนๆ ช่องโหว่ที่มีรายละเอียดสูงจะส่งผลให้ราคาหุ้นของบริษัทตกต่ำลงชั่วขณะ เมื่อเร็ว ๆ นี้ เราได้เห็นบริษัทต่างๆ ประสบกับมูลค่าตลาดที่ลดลงอย่างมากและดูเหมือนถาวร หรือมีการเจรจา M&A ล้มเหลวเนื่องจากการประนีประนอมของซอฟต์แวร์ ผลิตภัณฑ์.
เนื่องจากการละเมิดและจุดอ่อนที่สำคัญกลายเป็นกระแสหลักมากขึ้น เราสามารถหวังว่าบริษัทขนาดเล็กและนักลงทุนของพวกเขาจะมีบทบาทอย่างแข็งขันในการตอบคำถามด้านความปลอดภัยในระยะก่อนหน้า ในขณะที่เราปรับปรุง แนวทางการพัฒนาที่ปลอดภัยจะต้องเป็นตัวสร้างความแตกต่างและตัวขับเคลื่อนธุรกิจก่อนที่จะกลายเป็นบรรทัดฐานสำหรับการเริ่มต้นในระยะเริ่มต้นในที่สุด
บทความนี้เป็นตอนที่ 1 ของซีรีส์ 3 ตอนเกี่ยวกับความปลอดภัยในการเริ่มต้นระบบ ส่วนที่ 2 และ 3 จะเน้นที่กายวิภาคของช่องโหว่ของซอฟต์แวร์และวิธีเข้าถึงความปลอดภัยในช่วงแรกสุดของบริษัทใหม่
https://www.cybersecurity-insiders.com/how-startup-culture-is-creating-a-dangerous-security-gap-in-new-companies/
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05