Et «shift left» må skje nå!

Nå er det nylig oppdaget en lignende sårbarhet som kalles Spring4Shell. Dette viser at det vil være naivt å tro at vi ikke får flere lignende tilfeller i fremtiden. Slike sårbarheter kan få store konsekvenser, og ved å utnytte log4j-sårbarheten kan kriminelle i ytterste konsekvens ta over tusenvis av websider og webapplikasjoner som bruker koden, og gjennom det stjele penger, data og få tilgang til systemer.

– Derfor må det gjennomføres et «shift left», sier storkundeansvarlig i F5, Anna Nulpponen.

«Shift left» innebærer i korte trekk å inkludere sikkerhet tidligere i utviklingsprosessen, eller mer mot venstre. Nulpponen forteller at dette «helst skulle vært gjort i går», men at utviklingen i teknologien har skjedd så fort at sikkerheten ikke nødvendigvis har fulgt etter på alle måter.

– Utviklingen er ganske ny, og ser vi fem til ti år tilbake i tid ble alt gjort fra et hardware-perspektiv med datasentre. De siste årene med sikkerhetstrusler knyttet til log4j, covid, og nå krigen i Ukraina, ser vi at folk har fått seg en øyeåpner og at flere og flere organisasjoner ser at dette haster. Det er ingen grunn til at dette ikke har kunnet vært gjort tidligere, men når det ikke har vært pågående hendelser som dette, har det ikke vært førsteprioritet. Nå ser vi at vi ikke lenger behøver å overbevise folk om at det haster, sier Nulpponen.

Sikkerheten må være integrert på en sømløs måte

Nå handler mye om å unngå konsekvensene av den neste log4j eller Spring4Shell. Voksende programvareavhengighet har gjort at risikooverflaten har utvidet seg på måter vi ikke er rustet til å forutsi. Det er derfor viktig for fremtiden å ta dette som læring og jobbe med å redusere risikoen. Derfor mener F5 at sikkerheten må flyttes mot venstre.

– Vår løsning er å arbeide med Nginx og de verktøyene utviklere kan påvirke for å gjøre sikkerhet integrert i utviklingsprosessen de gjør. Det som er viktig for dem er at sikkerheten ikke sakker dem, så den må være integrert på en sømløs måte som ikke hindrer arbeidet de skal gjøre. Det er dette Nginx skal bidra med, og allerede gjør i mange organisasjoner.

– Det er den beste løsningen fra oss i et slikt landskap. Går vi tilbake til utvikleren hjelper det dem å integrere sikkerhet som en kode, sier Nulpponen.

Årsaken til at Nginx er å foretrekke er at man ikke kan bruke tunge, hardware-baserte datasentre når man skal flytte sikkerhet lenger mot venstre. Nginx er mer lettveiende, og F5 har tatt teknologien fra disse tunge løsningene, og flyttet dem inn i en lettveiende nettapplikasjons-brannmurløsning basert på Nginx.

– Nginx er verdens mest brukte webserver, så det finnes også en open source-versjon. De fleste selskaper bruker allerede denne gratisversjonen, men for å få alle støttefunksjonene må man opp på betalt nivå. I tillegg får du sikkerhetsegenskapene du ikke kan ha i åpen kilde-versjonen. Dette kan enkelt oppgraderes, så det er en enkel vei for bedriften å bli mer sikker.

– Vi så en økning i cybertruslene allerede før covid, men covid var det første store smellet. Ukraina-krigen er en ny bølge. Vi må fokusere enda mer på sikkerhet enn vi har gjort tidligere. Et «shift left» burde vært gjort allerede, men nå haster det virkelig, avslutter Nulpponen.