Industri keselamatan siber telah lama memposisikan dirinya sebagai penjaga terhadap kelemahan perisian dan ancaman siber. Walau bagaimanapun, perbincangan komuniti terkini mencadangkan bahawa industri itu sendiri mungkin menyumbang kepada masalah yang cuba diselesaikannya.
Paradoks Kerumitan dalam Penyelesaian Keselamatan
Para profesional keselamatan semakin menyatakan bahawa perisian dan penyelesaian keselamatan telah menjadi terlalu kompleks, sering mewujudkan kelemahan baharu semasa cuba membaiki yang sedia ada. Seperti yang diketengahkan oleh pakar infrastruktur perusahaan, produk keselamatan itu sendiri boleh menjadi bermasalah - dari ejen yang menggunakan banyak sumber CPU hingga ciri-ciri yang bertindih yang mewujudkan konflik dengan program lain. Kerumitan ini telah mencapai tahap di mana untuk menggunakan penyelesaian ini dengan selamat memerlukan kepakaran dalam matematik dan keselamatan siber.
Faktor Kesilapan Manusia
Walaupun artikel asal memberi tumpuan kepada isu seperti kelayakan yang dikodkan, maklum balas komuniti menekankan bahawa cabaran sebenar terletak dalam pengurusan rahsia programatik dalam organisasi. Walaupun penyelesaian yang kelihatan mudah seperti rahsia GitHub boleh mengakibatkan kesan yang tidak diingini apabila kesilapan manusia bertemu dengan amalan keselamatan yang kompleks. Pelaksanaan penyelesaian canggih seperti HashiCorp Vault, walaupun berkuasa, menambah lapisan kerumitan yang boleh membawa kepada kesilapan keselamatan.
Kes untuk Kesederhanaan
Satu contoh ketara keselamatan yang berkesan melalui kesederhanaan adalah kerja pasukan ACME-bot dalam PKI (Infrastruktur Kunci Awam). Pendekatan mereka untuk menjadikan pengurusan sijil semudah 1-2-3 mewakili apa yang dipercayai oleh ramai dalam komuniti harus menjadi hala tuju masa depan penyelesaian keselamatan. Ini menunjukkan bahawa memajukan keselamatan tidak sentiasa memerlukan lebih kerumitan - kadangkala ia memerlukan kurang.
Cabaran Kesalinghubungan
Satu perspektif menarik dari komuniti mencadangkan bahawa masalahnya bukan semestinya perisian yang buruk tetapi peningkatan kesalinghubungan persekitaran perisian. Apabila sistem menjadi lebih berhubung, permukaan serangan secara semulajadi berkembang, menjadikan kelemahan keselamatan lebih memberi kesan. Ini menimbulkan persoalan sama ada dorongan untuk menghubungkan segala-galanya sentiasa perlu atau bermanfaat.
Corak Seluruh Industri
Ahli komuniti menunjukkan bahawa corak ini tidak unik kepada keselamatan siber. Dinamik yang serupa wujud dalam bidang teknikal lain, di mana kerumitan mewujudkan peluang untuk penyelesaian khusus:
- Alat penulisan berkualiti seperti Grammarly
- Pemeriksa kod dan pemformat untuk mengekalkan standard kod
- Perkhidmatan pengesahan dan kebenaran seperti Okta/Auth0
Melangkah ke Hadapan
Perbincangan mencadangkan keperluan untuk perubahan paradigma dalam cara kita mendekati keselamatan perisian. Bukannya menambah lebih banyak lapisan kerumitan, tumpuan harus diberikan kepada:
- Menggalakkan kesederhanaan dalam pelaksanaan keselamatan
- Mengurangkan sambungan sistem yang tidak perlu
- Membangunkan penyelesaian keselamatan yang lebih intuitif dan mesra pengguna
- Mengutamakan keselamatan melalui reka bentuk dan bukannya sebagai pertimbangan kemudian
Kejayaan masa depan industri keselamatan siber mungkin bergantung bukan pada penciptaan penyelesaian yang lebih kompleks, tetapi menjadikan keselamatan lebih mudah diakses dan diurus untuk organisasi dari semua saiz.