Video: Gimana Caranya Biar Enggak Kena Hack? (ft. Jenius) (Desember 2024)
SAN FRANCISCO - Panel dua orang RSA Conference menangani pertanyaan provokatif secara langsung: Apakah keamanan perangkat lunak hanya membuang-buang waktu bagi sebagian besar perusahaan?
Tidak ada yang menyarankan agar perusahaan mengabaikan bug dalam produk mereka, tetapi pertanyaannya lebih pada bagaimana dan kapan perbaikan terjadi.
Microsoft, Adobe, dan beberapa perusahaan lain menganjurkan siklus hidup pengembangan perangkat lunak yang aman, di mana masalah keamanan ditangani selama semua fase pengembangan. Masih ada banyak perusahaan yang percaya waktu dan uang yang dihabiskan untuk inisiatif keamanan perangkat lunak ini dapat digunakan di tempat lain, dan itu lebih dalam kepentingan mereka untuk hanya memperbaiki bug setelah produk dikirimkan.
Di satu sisi, ada perusahaan seperti Adobe, yang harus berurusan dengan niat penyerang berkomitmen mengeksploitasi kerentanan dalam perangkat lunak. "Sebuah eksploitasi yang bekerja melawan Reader atau Flash menempatkan lebih dari satu miliar komputer dalam bahaya, " kata Brad Arkin dari Adobe. "Biaya untuk memperbaiki itu sangat tinggi sehingga kita perlu menginvestasikan semua yang kita bisa untuk memperbaiki masalah itu sebelum kita mengirim, " katanya.
Dan di sisi lain, ada perusahaan yang tidak akan pernah melihat pengembalian investasi dalam mengimplementasikan inisiatif pengembangan perangkat lunak yang aman, menurut panelis John Viega, wakil presiden eksekutif SilverSky, yang sebelumnya Perimeter E-Security. "Bagi sebagian besar perusahaan itu akan jauh lebih murah dan melayani pelanggan mereka jauh lebih baik jika mereka tidak melakukan apa-apa sampai sesuatu terjadi. Anda lebih baik menunggu pasar menekan Anda untuk melakukannya, " kata Viega.
Terlalu mahal
Viega tidak hanya bertolak belakang dan tidak setuju dengan Adobe's Arkin. Dia sebelumnya bekerja pada keamanan produk di McAfee dan "sejauh yang kami bisa ukur, itu benar-benar pemborosan uang, " katanya.
Sebagai contoh, satu tahun, McAfee memiliki tiga kelemahan keamanan yang diungkapkan secara publik, yang menghabiskan total biaya kurang dari $ 50.000, kata Viega. Angka tersebut mencakup semua komunikasi dan waktu yang dibutuhkan untuk mengembangkan dan menguji perbaikannya. Sebaliknya, program keamanan perangkat lunak yang komprehensif, sebaliknya, biaya perusahaan juta dolar dalam biaya langsung, dan bahkan lebih banyak dalam biaya tidak langsung, seperti kehilangan produktivitas, katanya. Sejauh yang dia tahu, perusahaan "membuat pekerjaan orang jahat itu sedikit lebih mahal, " tetapi tidak cukup untuk membenarkan biaya.
"Ada seluruh kelas perusahaan di mana tidak masuk akal untuk melakukan apa pun, " kata Viega.
Meskipun keamanan itu penting, itu seharusnya tidak menjadi kekuatan pendorong, Viega menyarankan. Dia membandingkan situasinya dengan industri mobil. Jika keselamatan adalah "yang terpenting, " maka "kita akan memiliki mobil yang tidak akan lebih dari 5 mil per jam, " katanya. Melihat biaya ekonomi membantu mencari tahu di mana seharusnya trade-off.
Bagi Adobe, menunggu terlalu mahal, sehingga mereka memastikan keamanan perangkat lunak adalah bagian utama dari proses pengembangan produk, mulai dari konsep, desain, pengkodean, pengujian, dan penyebaran. Perusahaan melakukan pelatihan keamanan yang ekstensif untuk semua insinyurnya, terlepas dari tingkat keahlian dan pengalaman, untuk memastikan semua orang melihat keamanan secara terpadu.
Memperbaiki Setiap Bug Kecil
Arkin dengan hati-hati menunjukkan bahwa sementara perusahaan menghabiskan banyak waktu dan sumber daya untuk menemukan dan memperbaiki kerentanan selama proses pengembangan, tujuannya bukan untuk memberantas setiap bug yang mungkin ada. Itu adalah penggunaan energi tim dan uang yang lebih baik untuk mengatasi kategori bug, katanya.
"Jika Anda memperbaiki setiap bug kecil, Anda membuang-buang waktu yang bisa Anda gunakan untuk mengurangi seluruh kelas bug, " katanya.
Pelanggan pada umumnya tidak memiliki cara untuk mengetahui perusahaan mana yang merupakan kapal atau perusahaan yang diperbaiki, kata Viega. Pembeli tidak cukup paham, dan mereka tidak selalu memikirkan keamanan aplikasi saat mengevaluasi pembelian mereka, katanya. "Hei, orang masih menggunakan Adobe, " kata Viega.
Mungkinkah ada semacam standar untuk mengetahui apakah perangkat lunak yang diberikan adalah produk "memperbaikinya" atau tidak? Viega tidak mengesampingkan kemungkinan itu, mencatat bahwa sebotol air pun memiliki label dengan informasi gizi tercetak.