RSA : 소프트웨어 보안이 시간 낭비입니까?

SAN FRANCISCO-2 인 RSA 컨퍼런스 패널은 도발적인 질문에 직면했습니다. 소프트웨어 보안은 대부분의 회사에서 시간 낭비입니까?

아무도 회사가 자사 제품의 버그를 무시해야한다고 제안하지 않았지만 문제는 언제 어떻게 수정해야하는지에 대한 것이 었습니다.

Microsoft, Adobe 및 기타 일부 회사는 모든 개발 단계에서 보안 문제가 해결되는 안전한 소프트웨어 개발 수명주기를 옹호합니다. 이러한 소프트웨어 보안 이니셔티브에 소요되는 시간과 비용을 다른 곳에서 사용할 수 있다고 믿는 회사는 여전히 많으며 제품 출시 후 버그를 수정하는 것이 더 관심이 있습니다.

한편으로 Adobe와 같은 회사는 소프트웨어의 취약점을 악용하려는 헌신적 인 공격자를 처리해야합니다. 어도비의 브래드 아킨 (Brad Arkin)은 "리더 또는 플래시에 대한 악용으로 10 억 대 이상의 컴퓨터가 위험에 처하게된다"고 말했다. "그러한 수정 프로그램을 출시하는 데 드는 비용이 너무 커서 배송하기 전에 이러한 문제를 해결하기 위해 가능한 모든 것을 투자해야합니다."

한편, Perimeter E-Security의 SilverSky 부사장 인 John Viega는 보안 소프트웨어 개발 이니셔티브 구현에 대한 투자 수익을 결코 보지 못할 회사가 있다고 말했다. Viega는“대부분의 기업은 상황이 발생할 때까지 아무런 조치를 취하지 않으면 훨씬 저렴 해지고 고객에게 더 나은 서비스를 제공 할 수있게 될 것입니다.

너무 비싼

Viega는 Adobe의 Arkin과 반대되는 의견에 동의하지 않았습니다. 그는 이전에는 McAfee의 제품 보안 분야에서 일했으며 "측정 할 수있는 한 절대적으로 돈 낭비였습니다"라고 말했습니다.

예를 들어, 1 년 동안 McAfee는 공개적으로 공개 된 3 건의 보안 결함이 있었으며, 처리 비용은 총 50, 000 달러 미만이라고 Viega는 말했습니다. 수정 사항을 개발하고 테스트하는 데 소요 된 모든 통신 및 시간이 그림에 포함되어 있습니다. 반면에 포괄적 인 소프트웨어 보안 프로그램은 회사에 직접 비용으로 백만 달러를 지불하고 생산성 손실과 같은 간접 비용으로 더 많은 비용을 지불한다고 그는 말했다. 그가 알 수있는 한, 회사는 "나쁜 사람의 일을 좀 더 비싸게 만들었지 만"비용을 정당화하기에는 충분하지 않았다.

Viega는 "무슨 일을하는 것이 이치에 맞지 않는 회사 전체가있다"고 말했다.

Viega는 보안이 중요하지만 추진력이되어서는 안된다고 제안했습니다. 그는 상황을 자동차 산업과 비교했다. 안전이 "가장 중요한 것"이라면 "우리는 시간당 5 마일을 넘지 않는 자동차를 갖게 될 것"이라고 말했다. 경제적 비용을 살펴보면 트레이드 오프 위치를 파악할 수 있습니다.

Adobe의 경우 대기 비용이 너무 비싸므로 개념, 디자인, 코딩, 테스트 및 배포에서 소프트웨어 보안이 제품 개발 프로세스의 주요 부분이됩니다. 이 회사는 기술 및 경험 수준에 관계없이 모든 엔지니어를 위해 광범위한 보안 교육을 실시하여 모든 사람이 통합 된 방식으로 보안을보고 있는지 확인합니다.

모든 작은 버그 수정

Arkin은 개발 과정에서 취약점을 찾아 수정하는 데 상당한 시간과 리소스를 소비했지만, 가능한 모든 버그를 제거하는 것이 목표는 아니라고 지적했습니다. 그는 버그의 범주를 해결하기 위해 팀의 에너지와 돈을 더 잘 사용했다고 말했다.

"모든 작은 버그를 고치면 모든 종류의 버그를 완화하는 데 사용할 수있는 시간을 낭비하고있다"고 그는 말했다.

Viega는 고객들이 일반적으로 어느 회사가 선적 회사인지 수정 회사인지 알 수있는 방법이 없다고 말했다. 구매자는 충분히 정통하지 않으며 구매를 평가할 때 항상 응용 프로그램의 보안에 대해 생각하지는 않습니다. Viega는“사람들은 여전히 ​​Adobe를 사용하고 있습니다.

주어진 소프트웨어가 "수정"제품인지 아닌지를 알려주는 표준이있을 수 있습니까? Viega는 물 한 병조차도 영양 정보가 인쇄 된 레이블이 있음을 지적하면서 가능성을 배제하지 않았습니다.