Oracle: ontwikkelaars werken onveilig
Voor bepaalde ontwikkelaars is beveiliging iets wat bij softwaredesign enkel achteraf wordt ingevoerd zegt Oracle. Bedrijven moeten meer eisen.
Volgens Mary Ann Davidson, Chief Security Officer bij Oracle, ontlopen softwareontwikkelaars hun verantwoordelijkheid om een infrastructuur grondig te beveiligen. Dat zei ze op een beveiligingsconferentie in Sidney.
In veel gevallen gaat het om cruciale infrastructuur waar zelf niet aan beveiliging wordt gedacht. “Je hebt verantwoordelijkheid. Je bouwt een infrastructuur, niet gewoon coole technologie.”
[related_article id=”161920″]
Ontwikkelaars kiezen volgens Davidson te vaak voor de makkelijke of snellere manier waarbij ze er van uitgaan dat hun applicatie slechts op één manier zal worden gebruikt.
Daarbij verwijst ze naar eigen ervaringen waarbij ze had vastgesteld dat software soms in veel belangrijkere en onverwachte toepassingen wordt gebruikt, waardoor het nadien extra beveiliging kreeg. Maar eigenlijk is dat maar half werk. Volgens haar moeten ontwikkelaars vanaf het beginontwerp aan beveiliging denken.
De sleutel is volgens Davidson van te praten met klanten, zelfs als dat leidt tot kritiek. Alleen zo kunnen ontwikkelaars beseffen dat hun codeerwerk tot in detail wordt bekeken of gebruikt.
Iedereen gewapend
Ze maakte ook de vergelijking met de Amerikaanse marine. Elke marinier kan met een wapen omgaan ongeacht of hij bureauwerk doet of als sniper moet optreden. “Waarom bouwen we netwerken niet op die manier?”
Betrouwbare werknemers?
De redenering hierachter is dat mariniers er niet van uitgaan dat hun perimeters volledig ondoorbreekbaar zijn. Daardoor moeten ze klaar zijn om zichzelf te verdedigen voor een aanval van binnenuit. Volgens haar gaan veel bedrijven er echter van uit dat aanvallers niet binnen hun bedrijfsmuren zullen geraken.
“We hebben (bij Oracle) meer dan twintigduizend werknemers. Denk je echt dat ze allemaal betrouwbaar zijn? Ga daar niet zomaar van uit.”
Davidson hekelt het feit dat een netwerk dat wordt aangevallen zich vaak niet aanpast aan de situatie, ook al kan het dat. “Als je slechte input krijgt naar een toestel op het netwerk, dan krijg je informatie. Je zou daar iets mee moeten doen.” Zo zou een toestel zichzelf moeten kunnen herconfigureren bij bepaalde signalen.
Voor bepaalde ontwikkelaars is beveiliging iets wat bij softwaredesign enkel achteraf wordt ingevoerd zegt Oracle. Bedrijven moeten meer eisen.
Volgens Mary Ann Davidson, Chief Security Officer bij Oracle, ontlopen softwareontwikkelaars hun verantwoordelijkheid om een infrastructuur grondig te beveiligen. Dat zei ze op een beveiligingsconferentie in Sidney.
In veel gevallen gaat het om cruciale infrastructuur waar zelf niet aan beveiliging wordt gedacht. “Je hebt verantwoordelijkheid. Je bouwt een infrastructuur, niet gewoon coole technologie.”
[related_article id=”161920″]
Ontwikkelaars kiezen volgens Davidson te vaak voor de makkelijke of snellere manier waarbij ze er van uitgaan dat hun applicatie slechts op één manier zal worden gebruikt.
Daarbij verwijst ze naar eigen ervaringen waarbij ze had vastgesteld dat software soms in veel belangrijkere en onverwachte toepassingen wordt gebruikt, waardoor het nadien extra beveiliging kreeg. Maar eigenlijk is dat maar half werk. Volgens haar moeten ontwikkelaars vanaf het beginontwerp aan beveiliging denken.
De sleutel is volgens Davidson van te praten met klanten, zelfs als dat leidt tot kritiek. Alleen zo kunnen ontwikkelaars beseffen dat hun codeerwerk tot in detail wordt bekeken of gebruikt.
Iedereen gewapend
Ze maakte ook de vergelijking met de Amerikaanse marine. Elke marinier kan met een wapen omgaan ongeacht of hij bureauwerk doet of als sniper moet optreden. “Waarom bouwen we netwerken niet op die manier?”
Betrouwbare werknemers?
De redenering hierachter is dat mariniers er niet van uitgaan dat hun perimeters volledig ondoorbreekbaar zijn. Daardoor moeten ze klaar zijn om zichzelf te verdedigen voor een aanval van binnenuit. Volgens haar gaan veel bedrijven er echter van uit dat aanvallers niet binnen hun bedrijfsmuren zullen geraken.
“We hebben (bij Oracle) meer dan twintigduizend werknemers. Denk je echt dat ze allemaal betrouwbaar zijn? Ga daar niet zomaar van uit.”
Davidson hekelt het feit dat een netwerk dat wordt aangevallen zich vaak niet aanpast aan de situatie, ook al kan het dat. “Als je slechte input krijgt naar een toestel op het netwerk, dan krijg je informatie. Je zou daar iets mee moeten doen.” Zo zou een toestel zichzelf moeten kunnen herconfigureren bij bepaalde signalen.