जैसे-जैसे कंपनियां अधिक लचीले क्लाउड इन्फ्रास्ट्रक्चर की ओर पलायन करती हैं, वैसे-वैसे खतरे के कारक सिस्टम से समझौता करने के लिए प्रवेश बिंदु के रूप में अपना ध्यान एप्लिकेशन परिदृश्य की ओर मोड़ना जारी रखते हैं। कम से कम 76% एप्लिकेशन कम से कम एक सुरक्षा खामी से ग्रस्त हों, सॉफ़्टवेयर सुरक्षित करना प्राथमिकता होनी चाहिए. दुर्भाग्य से, प्रशिक्षण और शिक्षा के अवसरों की एक चौंकाने वाली कमी ने कई डेवलपर्स को सुरक्षित कोड लिखने और डिज़ाइन द्वारा सुरक्षित सिस्टम बनाने के लिए तैयार नहीं किया है – ठीक उस समय जब हमें उनकी सबसे अधिक आवश्यकता होती है।

इस संकट के बिंदु पर खुद को खोजने के बावजूद, साइबर सुरक्षा कौशल का अंतर बहुत बड़ा है। यह कर्मचारियों को सुरक्षित कोडिंग सिद्धांतों को सिखाने के लिए कार्यस्थल प्रशिक्षण की लगातार कमी और सॉफ्टवेयर विकास जीवन चक्र को कैसे प्रभावित करता है, द्वारा जटिल है।

इस बीच, धमकी देने वाले अभिनेता अधिक सक्षम होते जा रहे हैं, और सोलरविंड्स और औपनिवेशिक पाइपलाइन की पसंद पर हाल के हाई-प्रोफाइल हमलों ने अमेरिकी राष्ट्रपति जो बिडेन को व्यापक जारी करने के लिए प्रेरित किया है। साइबर सुरक्षा कार्यकारी आदेश जो सॉफ्टवेयर सुरक्षा पर महत्वपूर्ण जोर देता है।

माध्यमिक पाठ्यचर्या में सुरक्षित कोडिंग शिक्षा की कमी में भूमिका निभाने वाले कई कारकों में से सबसे स्पष्ट यह है कि कुछ संकायों को सुरक्षा क्षेत्र के बारे में पर्याप्त जानकारी नहीं है, जिससे शिक्षा और उद्योग के बीच अंतराल होता है। इसके अलावा, सॉफ्टवेयर विकास में निरंतर परिवर्तन और विकसित उपकरण श्रृंखलाओं के कारण अंतर बढ़ गया है। अकादमिक संघर्ष जारी रखने के लिए संघर्ष करता है, और छात्र एक महत्वपूर्ण और मांग में कौशल सीखने के अवसरों से चूक जाते हैं।

कॉलेज के पाठ्यक्रम जो साइबर सुरक्षा को कवर करते हैं, उनमें से कई खराब सॉफ़्टवेयर सुरक्षा प्रथाओं के कारण होने वाले मुद्दों से बचाने पर ध्यान केंद्रित करते हैं, यह सिखाने के विरोध में कि कैसे एक हमलावर असुरक्षित कोड के परिणामस्वरूप सिस्टम में हेरफेर और नियंत्रण कर सकता है।

डेवलपर्स को मूल बातें समझने की जरूरत है कि SQL इंजेक्शन या कमांड इंजेक्शन जैसे अटैक वैक्टर से किसी एप्लिकेशन को कैसे जोखिम हो सकता है। ये विशिष्ट अवधारणाएँ हैं जिन्हें स्कूल में पर्याप्त रूप से नहीं पढ़ाया जाता है, इसलिए सुरक्षित कोडिंग और अनुप्रयोग सुरक्षा सिद्धांतों के आसपास प्रशिक्षण मॉड्यूल किसी भी कंप्यूटर विज्ञान पाठ्यक्रम के लिए एक आवश्यक बन जाना चाहिए।

ऑन-द-जॉब प्रशिक्षण सार्थक होना चाहिए
चूंकि अधिकांश कोडर्स बिना मूलभूत सुरक्षित कोडिंग ज्ञान के कार्यबल में प्रवेश करते हैं, इसलिए यह तेजी से महत्वपूर्ण है कि डेवलपर्स के पास कार्यस्थल में प्रभावी शैक्षिक अवसरों तक पहुंच हो ताकि वे कमजोरियों में बदलाव और सर्वोत्तम प्रथाओं को कोडिंग कर सकें।

अच्छी खबर है आधे से ज्यादा उत्तरी अमेरिका में संगठन डेवलपर्स को कुछ स्तर का सुरक्षा प्रशिक्षण प्रदान करते हैं, लेकिन केवल 29% को वर्ष में एक से अधिक बार प्रशिक्षण की आवश्यकता होती है। जबकि कई संगठन अपने कर्मचारियों को प्रारंभिक सुरक्षा प्रशिक्षण या स्व-सिखाया मॉड्यूल प्रदान करते हैं, तदर्थ, दुर्लभ प्रशिक्षण डेवलपर्स को उनके द्वारा सीखी गई बातों को व्यवहार में लाने के लिए सशक्त नहीं बनाता है। इसके शीर्ष पर, आधुनिक प्रशिक्षण अभ्यास अक्सर सामान्य, उबाऊ होते हैं, और वास्तविक दोष पहचान और उपचार से दूर होते हैं, जिससे वास्तविक दुनिया में प्रशिक्षण को बनाए रखना और निष्पादित करना मुश्किल हो जाता है।

दिन-प्रतिदिन के जीवन में, एक डेवलपर कोड का एक गुच्छा लिखता है, और फिर एक सप्ताह या एक महीने बाद, एक सुरक्षा समस्या सामने आती है। आधा समय, कोई अन्य डेवलपर दोष का उपचार करता है, इसलिए जिसने इसे लिखा है उसे इसे ठीक करने का अवसर कभी नहीं मिलता है। इसका मतलब है कि मूल डेवलपर ने जो कुछ भी सीखा है उसे लागू नहीं करता है और इस प्रकार जल्दी से सबक भूल जाता है।

डेवलपर्स हमेशा नई कोडिंग तकनीक सीखने की कोशिश कर रहे हैं – यह उनके डीएनए में है। तो, रुचि की कमी समस्या नहीं है। यह दिलचस्प प्रशिक्षण विकल्पों की कमी है। चाल इसे सार्थक बनाने की है – आकर्षक और लागू दोनों। व्यावहारिक सीखने के अवसर बनाएं जो कोडर्स को वास्तविक कोड का फायदा उठाने और पैच करने की अनुमति दें, रीयल-टाइम फीडबैक प्राप्त करें, और फिर उन ऐपसेक सिद्धांतों को उनके द्वारा लिखे गए कोड पर लागू करें। यह तत्काल फीडबैक लूप कोडर्स को वास्तविक दुनिया के परिदृश्यों में एप्लिकेशन सुरक्षा सीखने और अभ्यास करने में मदद करता है जो उनके वर्कफ़्लो को प्रतिबिंबित करते हैं।

प्रबंधन दुविधा: जोखिम बनाम इनाम
चल रही सुरक्षा शिक्षा के लिए दूसरी बड़ी चुनौती पूरी तरह से अलग है और शायद, इसे हल करना और भी कठिन है। अधिक कोड तेजी से बनाने के लिए निरंतर दबाव के साथ, विकास दल लगातार आधार पर घंटों या दिनों के प्रशिक्षण के लिए कोडर्स को खोने का जोखिम नहीं उठा सकते हैं। यह उत्पादन में कटौती करता है – एक औसत दर्जे की लागत जो व्यवसाय की रक्षा करना कठिन है। दूसरी ओर, जो दांव पर लगा है वह संभावित रूप से कहीं अधिक महंगा है।

प्रबंधन को सुरक्षा-दिमाग वाले डेवलपर्स के लाभ के खिलाफ खोए हुए उत्पादन के जोखिम को तौलना चाहिए। साथ डेटा उल्लंघन की लागत अब $424 मिलियन, सॉफ़्टवेयर की खामियों को रोकने और ठीक करने के लिए डेवलपर्स को ज्ञान प्रदान करना “पुन: व्यवस्थित” उत्पादकता के कुछ घंटों के लायक है। डेवलपर शिक्षा को प्राथमिकता देने में प्रबंधन की मदद करना एक लंबा क्रम है, लेकिन एक उद्योग को इसका पता लगाना चाहिए।

डेवलपर्स को हीरो बनाएं
साइबर हमले हर 39 सेकंड में होते हैं, और अगर साइबर हमले और रैंसमवेयर की घटनाओं के हालिया उदाहरण कोई संकेत हैं, तो चीजें केवल और अधिक गंभीर होने वाली हैं। यह आने वाले और मौजूदा डेवलपर्स दोनों के लिए सुरक्षित कोडिंग प्रशिक्षण को प्राथमिकता देने का समय है ताकि उन्हें शुरू से ही सुरक्षित सॉफ़्टवेयर बनाने के लिए आवश्यक ज्ञान दिया जा सके। अगली पीढ़ी के डेवलपर्स को अभी तक यह नहीं पता है कि उनके लिए क्या है, लेकिन वे सिर्फ नायक हो सकते हैं जिन्हें हमें अपने पक्ष में ज्वार को स्थानांतरित करने की आवश्यकता है।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here