Vi skrev om det samme i Bekks adventskalender. Og vi bruker fremdeles store utropstegn fordi det haster. Det haster med å løfte bunnivået på sikkerhet. Det haster å få i gang diskusjonen og tiltakene.
I denne artikkelen vil vi vise hva du som en sikkerhetsutvikler kan gjøre for å øke sikkerheten der du jobber.
Sikkerhetskompetanse må inn i teamene
Når en sikkerhetshendelse inntreffer må du være i stand til å raskt omstille deg og foreta utbedrende tiltak. Vi mener det går raskest når teamet har en eller flere faste utviklere som har sikkerhet i fingerspissene.
I motsetning til ad-hoc sikkerhetsfokus hos fullstackutviklerne i teamet mener vi at faste sikkerhetsutviklere med spisskompetanse vil bidra til:
- at sikkerhet kommer inn tidlig i, og ikke minst er en del av, utviklingsprosessen.
- at sikkerheten i produktet blir bedre fordi de som jobber med produktet hver dag har best utgangspunkt, og best oversikt, over hvilke utfordringer produktet har og hvordan man sikrer den best.
- bedre oppfølging og bedre kommunikasjon rundt sikkerhetstiltak i produktet fordi de involverte kjenner godt til koden, infrastrukturen og domenet.
- større grad av autonomi og raskere respons ved sikkerhetshendelser.
Sikkerhetsgjeld må nedbetales jevnlig
Vi i sikkerhetsmiljøet i Bekk har tidligere snakket om farene ved uhåndtert sikkerhetsgjeld og uansvarlig produktutvikling. I teamhverdagen snakkes det ofte om teknisk gjeld og utfordringer rundt hvordan håndtere og nedbetale denne gjelden. Sikkerhetsgjeld er nemlig også en gjeld man må plassere på prioriteringsvektskålen sammen med teknisk gjeld og ny funksjonalitet.
For å unngå at sikkerhetsgjelden vokser seg for stor, er det behov for at noen i teamet kjenner eierskap til sikkerhetsgjelden og gjør oppgavene som betaler ned denne gjelden jevnlig.
Sikkerhetsutviklere til unnsetning
Man forventer allerede at våre fullstackutviklere i tverrfaglige produktteam skal være flinke nok i både frontend, backend, sky og arkitektur. Sikkerhet er enda et stort fagområde å ha forventninger til.
Så la oss heller bistå teamene i å jobbe mer effektivt og effektfullt, og ta bedre vare på utviklerne sine: gi sikkerhetsoppgavene til sikkerhetsutviklere!
Hva er en sikkerhetsutvikler?
Vi har et forslag til en rolledefinisjon:
En sikkerhetsutvikler er en utvikler som tar ansvar og eierskap til sikkerhet og personvern i teamet.
Tofaktor stanset ikke hackere fra å ta seg inn i pensjonskasse: – Skremmende
Hva gjør en sikkerhetsutvikler?
Det er nok av oppgaver i produktteamhverdagen som kan defineres som egne sikkerhetsoppgaver. Hvis vi tenker oss et autonomt team som har ansvaret for sin egen tjeneste og verdikjede, og som jobber med sikkerhet kontinuerlig, så kan du som sikkerhetsutvikler f.eks. bidra ved å:
- sørge for at kodebasen er beskyttet mot f.eks. interne/eksterne trusler.
- dele fagstoff med teamet og spre bevissthet rundt sikkerhet i arbeidshverdagen.
- sørge for at skyplattformen tjenesten benytter er konfigurert med god nok sikkerhet.
- sørge for sårbarhetsskanning på dine avhengigheter.
- være en sparringspartner for teamet med fokus på å implementere sikker programvareutviklingsprosess og programvareutvikling med innebygd personvern i praksis.
- koordinere med det øvrige sikkerhetsmiljøet og sikkerhetsledelsen i bedriften om fellestiltak i fellestjenester og -plattformer.
- ta initiativ til sikkerhetsgjennomganger (penetrasjonstest, verdikjedegjennomgang m.m.) på egen tjeneste.
Disse oppgavene handler om å sørge for tjenestekvalitet og risikoredusering rundt selve tjenesten, og beskytter det tjenesten faktisk skal løse — nemlig brukerbehovene og å skape verdi for brukerne.
Modenhetsnivå i sikkerhetsarbeidet
I et team der modningsnivået på sikkerhetsarbeidet er lavt (dvs. at man ikke jobber kontinuerlig med sikkerhetsgjeld og sikkerhet), vil man trenge å endre teamsammensetningen for å møte dagens trusselbilde og jobbe med sikkerhet slik vi har skissert her og i tidligere artikler.
Ny belgisk lov beskytter etiske hackere: - Norge bør følge etter
Start med bevisstgjøring og eierskap
Sikkerhetsarbeidet starter med at noen bør kjenne ekstra eierskap og ansvar for sikkerheten. Det er en hatt de fleste kan ta på seg, selv ikke-tekniske teammedlemmer.
Det handler om å spre bevissthet og starte et sted — det ansvaret kan hvem som helst i teamet ta!
Fyll deretter på med spisskompetanse
Etterhvert i modningsprosessen vil teamet kanskje erkjenne at disse sikkerhetsoppgavene man forstår man burde gjøre ikke er så trivielle for fullstackutviklerne å løse. Det kan gå uforholdsmessig mye tid i å forstå oppgaven og finne en løsning. Det er helt normalt og forventet fordi sikkerhetsfagfeltet er stort, kan være komplekst og er i rask utvikling!
Når teamet har erfart og innsett dette, kan teamsammensetningen endres ved å ta inn en sikkerhetsutvikler som gir den ettertrengte og nødvendige kapasiteten, spisskompetansen og ansvaret i teamet for sikkerhetsoppgavene.
Sånn ser River Securitys verktøy ut under panseret: - Samler enorme mengder data
Løft frem sikkerhetsledere
En sikkerhetslederrolle kan være en attraktiv og inspirerende stilling for sikkerhetsutviklere som ønsker et lederansvar senere i karrieren.
Det er et behov for noen som koordinerer og leder sikkerhetsarbeidet på tvers av teamene, gjerne i samarbeid med sikkerhetsledelsen. Her kan ansvaret være å bl.a. koordinere initiativer og skape en sikrere portefølje av tjenester i samarbeid med sikkerhetsutviklerne og teamene.
Så, hvordan blir jeg en sikkerhetsutvikler?
Som en utvikler som er nysgjerrig på sikkerhet har du et flott utgangspunkt. Glem imposter syndrome og tenk heller at det er en rolle å vokse i. Slik som for de fleste andre håndverksyrker så lærer man best ved å gjøre jobben etter beste evne og bygge erfaringer på jobb.
Det kan være lurt å ha en formening om hva man ønsker å fokusere på. Så her kommer en liste med litt inspirasjon på hvor man kan starte:
- Hva med å komme inn i et Capture the Flag-miljø som løser oppgaver sammen? Oslo CTF m.fl. har jevnlige åpne møter.
- Hva med å sosialisere med fagfeller på konferanser som f.eks. BlackHat, Sikkerhetsfestivalen, Paranoia, BSides Oslo, Hack in the Box m.fl.?
- Hva med å dele nyheter om trender, teknikker og nye verktøy med kollegaer?
- Hva med å øve på hacking foran PCen i ro og fred på f.eks. Cryptohack.org, HackerOne 101 CTF eller tryhackme.com?
- Eller kanskje starte helt enkelt med et “Hei” på Security Champions Norway på Slack?
Hvis du har lyst til å ta et skritt nærmere mer hands-on sikkerhet i 2023:
— bli en sikkerhetsutvikler!