Zamisli da si kupio novu jahtu. Ona je u savršenom stanju – čvrsta, sigurna i spremna za plovidbu i uživanje. Međutim, kako vreme prolazi, bez redovnog održavanja, na trupu broda počinje da se stvara rđa. Ona je u početku neprimetna, ali postepeno slabi strukturu broda, čineći ga podložnim oštećenjima. S obzirom na to da je „zub vremena“ neumoljiv, ukoliko se ne posvetiš održavanju, tvoj brod će neminovno potonuti.
U ovom primeru, brod predstavlja tvoj softverski sistem, a rđa je ekvivalent vremenskih ranjivosti i degradacije bezbednosti koja se javlja u softverskom kodu. Rđa se ne pojavljuje odmah, već posle nekog vremena, kao što ni ranjivosti u softveru nisu uvek trenutno vidljive. Ako ne ulažeš napor u stalno održavanje i ažuriranje, tvoj softver, poput broda, može postati ranjiv.
Odbrana u dubinu kao ključni koncept
Dakle, iako hakeri često zauzimaju centralnu ulogu u raspravama o sajber bezbednosti, suptilniji ali nemilosrdan napadač, koji nas sve pogađa, je vreme. Ključni koncept u borbi protiv narušavanja bezbednosti tokom vremena je „odbrana u dubinu“ (Defence in Depth). Ovaj pristup podrazumeva postavljanje više slojeva zaštite, gde svaki sloj pruža dodatni nivo sigurnosti. Čak i ako jedan sloj bude kompromitovan, drugi slojevi mogu zadržati integritet sistema. Na primer, pored standardnih bezbednosnih mehanizama kao što su fajrvol i enkripcija, možeš implementirati kontrolu pristupa, sistem za detekciju upada i sigurnosne privilegije koje ograničavaju šta svaki korisnik ili proces može raditi.
Bez obzira na vreme, napadi se mogu ublažiti ako se primenjuje princip najmanjih privilegija (Least Privilege). To znači da svaki deo sistema (ili korisnik) ima pristup samo onim resursima koji su mu neophodni za rad. Ovaj princip može sprečiti napadača da eksploatiše ranjivost u jednom delu sistema, a sa ciljem dobijanja pristupa kompletnom sistemu.
Rukovanje tehničkim dugom i kriptografskom agilnošću
Treba biti obazriv prilikom korišćenja automatskih alata. Mnogi razvojni timovi se oslanjaju na alate poput npm audita, da bi detektovali ranjivosti, ali često greše u proceni ozbiljnosti problema. Nekad označe trivijalne probleme kao kritične, dok stvarne pretnje ostaju „ispod radara“. Zato je bitno da timovi ne zavise isključivo od ovih alata, već da ulažu vreme u ručne procene ranjivosti.
Kako softverski projekat raste, tako raste i tehnički dug, koji predstavlja skup brzih rešenja i kompromisa, a koji se tokom vremena nagomilavaju. Tehnički dug komplikuje održavanje koda i može otvoriti prostor za ranjivosti. Ignorisanje ovog problema vodi do većih bezbednosnih rizika, jer delovi koda koji su pisani brzo i bez dugoročnog plana mogu postati ulazna tačka za napadača. Redovno refaktorisanje koda je od suštinskog značaja za smanjenje ovog rizika.
Napadi koji eksploatišu vreme, poput „harvest now, decrypt later“, postali su velika pretnja. Veoma su zanimljivi i zastrašujući jer se zasnivaju na prikupljanju enkriptovanih podataka sada, sa ciljem njihovog dešifrovanja kasnije, kada napredniji alati postanu dostupni. Da bi se uspešno nosio sa ovakvom pretnjom, moraš planirati dugoročno i postaviti kriptografske standarde koji mogu da izdrže test vremena.
Ukoliko ti je cilj dugoročna sigurnost, kriptografska agilnost zaslužuje tvoju pažnju! To je sposobnost da se brzo pređe na modernije algoritme, onda kada je to potrebno, a bez preobimnih promena u sistemu.
Sajber bezbednost nije statičan cilj, već dinamičan proces. Vreme neizbežno razotkriva ranjivosti, ali kroz proaktivne mere, možemo usporiti narušavanje bezbednosti. Naša borba sa vremenom nikada neće biti gotova, ali uz konstantnu pažnju, možemo značajno produžiti život i sigurnost naših softverskih sistema.