Dokumen DBIR (Laporan Investigasi Pelanggaran Data) 2021 yang dirilis pada Mei oleh Verizon menganalisis investigasi kecelakaan dan Data pelanggaran ilmuwan komputer dari tahun yang sulit yang baru saja berakhir.
Di antara bukti-bukti berbeda yang diidentifikasi dalam penyebab kecelakaan dan kehilangan data, satu yang mencolok baik untuk pengulangan di kedua kategori dan untuk posisi di klasemen - terpenting kedua: serangan terhadap aplikasi web.
Kombinasi transformasi digital perusahaan dan darurat pandemi telah menandai perubahan penting, yang baru-baru ini telah sangat memperkuat penggunaan aplikasi web untuk sebagian besar produktivitas pribadi dan profesional.
Di satu sisi, "bekerja dari rumah" yang sangat menyedihkan sebenarnya telah terbukti menjadi solusi yang sangat baik, yang telah membantu mengurangi kehancuran yang jika tidak akan mempengaruhi operasi perusahaan secara besar-besaran.
Perusahaan yang manajer dan karyawannya telah menunjukkan kreativitas yang luar biasa meskipun ada masalah infrastruktur dan operasional.
Di sisi lain, telah terjadi peningkatan eksponensial dalam permukaan serangan yang terbuka dan konsekuensi risiko kompromi.
Konsorsium Proyek Keamanan Aplikasi Web Terbuka (OWASP) memelihara daftar 10 kategori kerentanan parah pada aplikasi web, untuk memungkinkan tim keamanan campur tangan dalam kendali mereka.
Masalahnya tetap pada kurangnya perhatian pada akebersihan digital preventif dan kontrol hanya diterapkan ketika aplikasi dipublikasikan di Internet, oleh karena itu dapat dijangkau baik oleh pengguna yang sah dan - sayangnya - oleh penjahat dunia maya.
Penyebab kelemahan lain dalam aplikasi web terletak pada interval yang sangat lebar - kadang-kadang bahkan semester atau lebih - yang dengannya pemeriksaan dilakukan untuk mengetahui adanya kerentanan.
Hal ini diperlukan untuk meningkatkan tingkat kematangan perusahaan dan organisasi terhadap hal ini kehilangan kebersihan digital, dengan tindakan yang sering disebut sebagai geser keamanan kiri.
Untuk lebih memahami ide tersebut, proses dimana aplikasi web dikembangkan, diverifikasi dan akhirnya diterbitkan harus dianalisis, sesuai dengan arahan metodologi tangkas yang menyediakan Continuous Integration, Continuous Delivery / Deployment (CI / CD).
Sering direpresentasikan sebagai siklus yang menyerupai bentuk matematika tak terhingga, alur operasional integrasi berkelanjutan dan implementasi sering diringkas dengan istilah DevOps - menunjukkan kolaborasi erat antara tim pengembangan (Dev) dan tim manajemen operasional (Ops).
Pertanyaan penting pada titik ini menjadi: di mana memasukkan kontrol keamanan, untuk mencegah kerentanan - oleh karena itu vektor serangan potensial - ditemukan ketika aplikasi terlihat dan dapat dijangkau oleh siapa saja?
Inilah ide di balik "Shift Left Security".
Ketika sebuah organisasi menerapkan paradigma DevOps, prosesnya sering kali melibatkan adopsi platform perangkat lunak yang memfasilitasi transisi antara berbagai fase siklus.
Contoh platform ini adalah Jenkins, Bamboo, TeamCity, dll.
Logika yang digunakan melibatkan pengelolaan berbagai momen, seperti mengambil kode dari repositori terpusat (mis. GitHub), mengeksekusi instruksi untuk mengkompilasi aplikasi (fase membangun), melakukan tindakan sebelum atau sesudah membangun (mis. mentransfer produk setengah jadi ke lingkungan lain atau menjalankan yang dikompilasi).
Sebagian besar platform ini terstruktur secara terbuka, mendukung plug-in perangkat lunak yang memungkinkan untuk memperluas fungsi dasar yang disediakan oleh platform.
Berkat plug-in ini dimungkinkan untuk mengintegrasikan pemeriksaan keamanan otomatis, sehingga mereka mengintervensi langkah-langkah antara satu fase dan fase berikutnya.
Tergantung pada plug-in yang digunakan, bahkan dimungkinkan untuk menetapkan kebijakan keamanan, berdasarkan mana membangun dapat berakhir dengan sukses atau dengan kesalahan (gambar bawah).
Misalnya, tentukan bahwa dengan adanya kerentanan perangkat lunak di luar ambang batas numerik atau kekritisan tertentu, kemajuan di sepanjang pipa saluran Opsi konfigurasi plug-in lainnya memungkinkan Anda untuk mengekspos kesalahan dan masalah keamanan secara langsung di layar yang terlihat oleh pengembang, untuk membuat mereka mandiri dalam memecahkan masalah.
Dengan cara ini kontrol keamanan semakin bergerak ke arah asal, menjamin ketahanan aplikasi yang lebih baik ketika akhirnya dipromosikan ke produksi dan mengurangi risiko serangan dunia maya.
Teknik dari "Geser ke kiri" itu tidak hanya menyangkut jalur produksi aplikasi web, tetapi sering diadopsi untuk menerapkan tingkat kelincahan yang sama di berbagai bidang seperti wadah aplikasi, pelatihan sumber daya cloud, gambar server dan klien, infrastruktur.
Intinya, ini adalah pertumbuhan kedewasaan program keamanan organisasi yang berhasil menggabungkan kelincahan, kecepatan operasional, dan efektivitas dalam kontrol keamanan secara efisien.
Gambar: Verizon DBIR 2021 / web
