ช่องว่างด้านความปลอดภัยที่เป็นอันตรายของ Start up

ช่องโหว่ของซอฟต์แวร์คือความหายนะของทีมรักษาความปลอดภัยทุกทีม ช่องโหว่ที่เพิ่งค้นพบสามารถเปลี่ยนผลิตภัณฑ์ซอฟต์แวร์ที่สำคัญให้กลายเป็นระเบิดเวลาที่รอการใช้ประโยชน์ ผู้ปฏิบัติงานด้านความปลอดภัยและทีมไอทีที่ได้รับมอบหมายให้ปกป้ององค์กรของตนจะต้องระบุและบรรเทาช่องโหว่ใหม่ๆ อย่างต่อเนื่อง ก่อนที่การปรากฏตัวของพวกเขาจะส่งผลให้เกิดการละเมิด

ความสำคัญของช่องโหว่และการจัดการแพตช์เป็นที่เข้าใจกันดีในด้านความปลอดภัยของข้อมูล อย่างไรก็ตาม ผู้ที่เข้าใจน้อยกว่าคือปัจจัยที่นำไปสู่การแนะนำและการแพร่กระจายของช่องโหว่ของซอฟต์แวร์อย่างต่อเนื่อง ซึ่งทำให้ผลิตภัณฑ์ซอฟต์แวร์เกือบทุกชนิดและองค์กรที่พึ่งพาพวกเขา

โดยเฉพาะอย่างยิ่ง วัฒนธรรมการเริ่มต้นปัจจุบัน สิ่งจูงใจและความคาดหวังโดยรอบโครงการซอฟต์แวร์ใหม่ที่มีขนาดเล็กกว่า ได้สร้างข้อบกพร่องที่หยั่งรากลึกในการพัฒนาและนำซอฟต์แวร์ออกสู่ตลาด ข้อบกพร่องเหล่านี้ไม่เพียงแต่นำไปสู่ช่องโหว่ที่หลีกเลี่ยงได้ในซอฟต์แวร์ที่ผลิตโดยทีมขนาดเล็กเท่านั้น แต่ยังส่งผลกระทบในวงกว้างในอุตสาหกรรมเทคโนโลยีทั้งหมด และบังคับให้ผู้ใช้ยอมรับข้อมูลและการละเมิดความเป็นส่วนตัวตามความเป็นจริงของชีวิต

อุตสาหกรรมซอฟต์แวร์มีการพัฒนาอย่างมากในช่วงทศวรรษที่ผ่านมา และการเปลี่ยนแปลงส่วนใหญ่มุ่งเน้นไปที่ด้านหนึ่ง: ความเร็ว แนวคิดของซอฟต์แวร์และธุรกิจ เช่น การพัฒนา Agile, sprints, Lean startup และแม้แต่ “fail fast” นั้นถูกใช้เป็นบรรทัดฐานโดยหลายทีม และตามชื่อที่แนะนำ พวกเขาทั้งหมดมุ่งหวังที่จะเร่งการพัฒนาผลิตภัณฑ์ ในอุตสาหกรรมซอฟต์แวร์ที่มีการแข่งขันสูงซึ่งมีอุปสรรคในการเข้าร่วมน้อยกว่าที่เคย และดูเหมือนว่าทุกคนจะมีแนวคิดในการเริ่มต้น นำผลิตภัณฑ์และคุณสมบัติออกสู่ตลาดก่อนที่คู่แข่งจะสามารถสร้างหรือทำลายบริษัทได้

ระบบรักษาความปลอดภัยพยายามดิ้นรนเพื่อหาที่แข่งขันสำหรับบริษัทต่างๆ ในการหาแหล่งเงินทุน ค้นหาความเหมาะสมของตลาดผลิตภัณฑ์ และได้รับแรงฉุดในขั้นต้น พูดง่ายๆ ก็คือ สตาร์ทอัพได้รับแรงจูงใจจากภายในและภายนอกให้ใช้เวลาและความพยายามให้น้อยที่สุดกับความปลอดภัยของซอฟต์แวร์

มีบริษัทสตาร์ทอัพเพียงไม่กี่รายที่มีความหรูหราในการนำวิสัยทัศน์ของผู้ก่อตั้งออกสู่ตลาดโดยไม่ต้องพึ่งพาเงินทุนและทรัพยากรจากภายนอก ทีมผู้ก่อตั้งมักจะทำงานเพื่อผลประโยชน์ส่วนตัว โดยไม่ได้รับเงินเดือนที่ร่ำรวยในบริษัทที่จัดตั้งขึ้นมากกว่า และจุ่มลงในเงินออมส่วนตัวเพื่อเริ่มต้นบริษัท สำหรับสตาร์ทอัพที่ไม่มีเงินทุน 100% ของทรัพยากรจะเน้นไปที่การได้รับเงินทุนเริ่มต้น

จุดที่สตาร์ทอัพสามารถเริ่มระดมทุนได้จะแตกต่างกันไปขึ้นอยู่กับคุณสมบัติของผู้ก่อตั้ง สำหรับสตาร์ทอัพที่สร้างขึ้นโดยผู้ประกอบการรุ่นเยาว์และไม่รู้จัก มักจะหมายความว่าทีมผู้ก่อตั้งต้องมีผลิตภัณฑ์ที่ใช้งานได้และมีฐานผู้ใช้ที่เติบโตขึ้นก่อนจึงจะสามารถได้รับเงินลงทุนที่จำเป็นในการขยายทีมพัฒนาให้มากกว่าสมาชิกผู้ก่อตั้งเพียงไม่กี่ราย

ภายใน ข้อกำหนดการพัฒนาอย่างรวดเร็วผลักดันให้วิศวกรใช้ทางลัด ซึ่งมักอาศัยไลบรารีที่ไม่ได้รับการตรวจสอบและการคัดลอก/วางโค้ด สำหรับการเริ่มต้นแบบลีน การมีวิศวกรความปลอดภัยเฉพาะไม่ใช่ทางเลือก ความปลอดภัยของผลิตภัณฑ์จึงเป็นความรับผิดชอบของวิศวกรซอฟต์แวร์ที่มีประสบการณ์มากที่สุด ซึ่งอาจไม่มีความชำนาญหรือแบนด์วิดธ์ในการจัดลำดับความสำคัญ สำหรับทีมผู้ก่อตั้งที่ต้องการผู้ใช้ที่มีอยู่ก่อนจึงจะสามารถรับเงินทุนได้ นี่อาจหมายถึงการทำให้ข้อมูลผู้ใช้ตกอยู่ในความเสี่ยง

ภายนอก นักลงทุนรายแรกในบริษัทสตาร์ทอัพไม่สนใจในเรื่องความปลอดภัยของซอฟต์แวร์อย่างชัดเจน และไม่มีแรงจูงใจที่จะเรียนรู้หรือกังวลเกี่ยวกับความปลอดภัยของซอฟต์แวร์ ผู้ใช้เริ่มต้นอาจถามคำถามเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ แต่โดยทั่วไปจะจำกัดเฉพาะข้อกังวลเรื่องความเป็นส่วนตัว สำหรับผลิตภัณฑ์ B2B ลูกค้าองค์กรระดับเริ่มต้นที่มีนโยบายความปลอดภัยของซัพพลายเออร์ที่แข็งแกร่งอาจพิจารณาการออกแบบความปลอดภัยของผลิตภัณฑ์อย่างละเอียด อย่างไรก็ตาม พวกเขาจะเลิกลงทุนด้วยเงินทุนของตนเองในการสร้างผลิตภัณฑ์ซอฟต์แวร์ที่มีแนวโน้มว่าจะปลอดภัยยิ่งขึ้น

การขาดสิ่งจูงใจในการลงทุนในช่วงต้นของการรักษาความปลอดภัยซอฟต์แวร์ถือเป็นความจริง ไม่เพียงแต่สำหรับสตาร์ทอัพเชิงพาณิชย์เท่านั้น แต่ยังรวมถึงนักพัฒนาซอฟต์แวร์โอเพ่นซอร์สด้วย แม้แต่ไลบรารีโอเพนซอร์สที่ใช้กันอย่างแพร่หลายและเป็นที่รู้จักมากที่สุดก็มักได้รับการสนับสนุนจากทีมขนาดเล็กมากที่มีทรัพยากรจำกัด ตามทฤษฎีแล้ว ชุมชนโอเพ่นซอร์สได้รับเชิญให้ประเมินและปรับปรุงความปลอดภัยของห้องสมุด แต่ผลลัพธ์จะแตกต่างกันอย่างมากโดยไม่มีแรงจูงใจทางการเงินให้ทำเช่นนั้น ในทศวรรษที่ผ่านมา ช่องโหว่ที่มีการแพร่กระจายอย่างกว้างขวางที่สุดบางส่วนเชื่อมโยงกับไลบรารีโอเพนซอร์ซที่ใช้โดยผลิตภัณฑ์เชิงพาณิชย์จำนวนมาก

เช่นเดียวกับไลบรารีโอเพนซอร์ซ โค้ดที่พัฒนาโดยบริษัทสตาร์ทอัพในที่สุดก็เข้าสู่ผลิตภัณฑ์ซอฟต์แวร์สำหรับผู้ใหญ่ที่จำหน่ายโดยบริษัทขนาดใหญ่ บ่อยครั้งเมื่อถึงจุดนี้ ช่องโหว่ที่เริ่มใช้ในระหว่างการพัฒนาอย่างรวดเร็วโดยทีมเล็กๆ กลายเป็นปัญหาที่ส่งผลกระทบต่อองค์กรระดับโลก การขาดแรงจูงใจในการลงทุนด้านความปลอดภัยในฐานะทีมเล็ก ๆ ยังไม่ได้รับการแก้ไขจนกว่าจะสายเกินไป

แรงกดดันของตลาดที่ทำให้บริษัทซอฟต์แวร์ไม่สามารถปรับปรุงความปลอดภัยของผลิตภัณฑ์ของตนได้ จะทำให้มั่นใจได้ว่าช่องโหว่ที่ป้องกันได้ยังคงเป็นภัยคุกคามต่อไป จนกว่าจะมีการเปลี่ยนแปลงวัฒนธรรมครั้งใหญ่ นักพัฒนา นักลงทุน ผู้ใช้ และผู้มีส่วนได้ส่วนเสียในการควบรวมกิจการต้องเข้าใจการเปิดเผยและความรับผิดชอบเกี่ยวกับช่องโหว่ของซอฟต์แวร์ให้ดียิ่งขึ้น

ตัวขับเคลื่อนที่ทรงพลังที่สุดตัวเดียวสำหรับการเปลี่ยนแปลงนี้น่าจะเป็นระดับที่ตลาดมีบริษัทที่รับผิดชอบต่อการประนีประนอมอันเป็นผลมาจากช่องโหว่ในซอฟต์แวร์ของตน ด้วยตัวชี้วัดนี้ การเปลี่ยนแปลงได้เกิดขึ้นแล้ว ในขณะที่ปีก่อนๆ ช่องโหว่ที่มีรายละเอียดสูงจะส่งผลให้ราคาหุ้นของบริษัทตกต่ำลงชั่วขณะ เมื่อเร็ว ๆ นี้ เราได้เห็นบริษัทต่างๆ ประสบกับมูลค่าตลาดที่ลดลงอย่างมากและดูเหมือนถาวร หรือมีการเจรจา M&A ล้มเหลวเนื่องจากการประนีประนอมของซอฟต์แวร์ ผลิตภัณฑ์.

เนื่องจากการละเมิดและจุดอ่อนที่สำคัญกลายเป็นกระแสหลักมากขึ้น เราสามารถหวังว่าบริษัทขนาดเล็กและนักลงทุนของพวกเขาจะมีบทบาทอย่างแข็งขันในการตอบคำถามด้านความปลอดภัยในระยะก่อนหน้า ในขณะที่เราปรับปรุง แนวทางการพัฒนาที่ปลอดภัยจะต้องเป็นตัวสร้างความแตกต่างและตัวขับเคลื่อนธุรกิจก่อนที่จะกลายเป็นบรรทัดฐานสำหรับการเริ่มต้นในระยะเริ่มต้นในที่สุด

บทความนี้เป็นตอนที่ 1 ของซีรีส์ 3 ตอนเกี่ยวกับความปลอดภัยในการเริ่มต้นระบบ ส่วนที่ 2 และ 3 จะเน้นที่กายวิภาคของช่องโหว่ของซอฟต์แวร์และวิธีเข้าถึงความปลอดภัยในช่วงแรกสุดของบริษัทใหม่

https://www.cybersecurity-insiders.com/how-startup-culture-is-creating-a-dangerous-security-gap-in-new-companies/