25 Jan 2022

7 Alasan Tim Pengembang Melewatkan Keamanan Website

Tim pengembang umumnya sering melewatkan keamanan website perusahaan,  dalam penelitian kemungkinan  terjadi 70% dalam bisnis anda, yang berdampak pada kemungkinan adanya peretas berbahaya datang. Artikel ini akan membantu anda untuk mengetahui 7 alasan tim pengembang melewatkan keamanan website dan solusi bagaimana cara menghilangkan penyebab kerentanan kemanan website secara mudah dan cepat.

1. Keamanan Website yang Tidak Dianggab Penting

Alasan utama mengapa tim pengembang melewatkan langkah-langkah keamanan website adalah karena mereka tidak menganggap langkah-langkah ini penting, contoh ini datang dari atasan perusahan. Jika pemimpin perusahaan tidak cukup peduli mengenai keamanan website,  tim pengembang dan manajer akan berfokus kepada hal lain. Mereka tidak terlalu hawatir untuk menjaga keamanan website dengan benar, sehingga tim pengembang melewatkan hal tersebut.

Ada berbagai cara untuk mendemonstrasikan fokus pada keamanan website, tetapi semuanya dimulai dengan mengenali dan membedakan dari area keamanan siber lainnya. Jika bisnis Anda berinvestasi dalam solusi keamanan seperti antivirus dan solusi keamanan jaringan seperti firewall tetapi tidak berinvestasi dalam keamanan website, itulah yang dapat Anda harapkan dari tim pengembang Anda, dengan tim pengembang yang Anda miliki tidak seharusnya melewatkan keamana website bisnis anda.

Solusi :

  • Jika Anda seorang pemimpin bisnis, tekankan minat Anda pada keamanan website.
  • Pastikan Anda dan tim Anda menyadari bahwa keamanan website tidak tercakup oleh keamanan endpoint/jaringan saja.
  • Mendukung dan mempromosikan investasi ke alat otomatis seperti Acunetix untuk membantu mengamankan situs web dan aplikasi web Anda.

2. Asumsi Mengenai Keamanan Website yang Aman

Sebenarnya, pemilik perusahaan banyak yang sudah menyadari akan pentingnya keamanan website perusahaan. Namun ada beberapa asumsi yang masih menjadi pemikiran mereka, berikut beberapa alasannya :
  • Aplikasi yang dibangun secara eksternal secara otomatis aman karena penyedia akan menjaga keamanan website yang mereka tawarkan. Jika aplikasi web Anda tidak dikembangkan oleh bisnis Anda secara langsung tetapi oleh pihak ketiga, atau jika itu open-source seperti WordPress, Anda mungkin berasumsi bahwa pembuatnya memastikan keamanan aplikasi web yang memadai. Asumsi ini tidak sepenuhnya benar.
  • Aplikasi untuk penggunaan internal atau penggunaan terkontrol. Jika Anda hanya mengizinkan akses jaringan internal ke aplikasi atau Anda mengontrol rentang IP yang diizinkan untuk mengaksesnya, Anda mungkin berpikir bahwa aplikasi tersebut lebih aman.
  • Website/aplikasi tidak beresiko karena sederhana. Ini adalah asumsi umum misalnya untuk situs pemasaran atau jenis situs web lain tanpa data sensitif. Namun, situs tersebut, jika rentan, dapat menyebabkan eskalasi hak istimewa dan memungkinkan penyerang untuk dengan mudah mengakses sistem lain yang lebih kritis.
Solusi :
  • Bertanggung jawab atas keamanan website meskipun Anda yakin bahwa pembuat pihak ketiga juga mengikuti praktik standar keamanan website. Investasikan tools Anda sendiri atau sewa MSSP.
  • Perlakukan setiap aplikasi web dan situs web sebagai bagian dari permukaan serangan – bahkan yang internal dan bahkan situs web yang paling sederhana.

3. Kurangnya Waktu dan Sumber Daya

Mari kita asumsikan bahwa para pemimpin bisnis menyadari pentingnya keamanan aplikasi web dan siap untuk berinvestasi dengan tools tambahan tetapi tidak menyadari bahwa keamanan aplikasi web membutuhkan waktu dan sumber daya ekstra. Misalnya, menulis formulir sederhana membutuhkan waktu beberapa detik. Menulis formulir yang sama dengan rutinitas perlindungan skrip lintas situs yang sesuai membutuhkan setidaknya beberapa menit. Jika pengembang  tidak banyak waktu, mereka tidak akan punya waktu untuk praktik pengkodean yang aman.

Sama halnya dengan perkakas. Meskipun alat DAST kelas atas yang digunakan di SDLC tidak membebani saluran pipa, alat tersebut masih menambahkan beberapa overhead di atas waktu pengujian QA yang ada. Pemimpin bisnis harus menyadari bahwa untuk menjaga keamanan aplikasi web, tim pengembang membutuhkan waktu dan usaha ekstra dan mereka harus memastikan bahwa pengembang merasa nyaman dengan mengambil waktu ini dan tidak terburu-buru. Jika pengembang, memiliki keterbatasan waktu, nantinya mereka hanya punya waktu untuk mencari kode secara online dan kemudian menyalin dan menempelkannya ke aplikasi Anda.

Solusi :

  • Memungkinkan sedikit keterlambatan pengembangan, terutama saat tim Anda mulai terbiasa berfokus pada keamanan aplikasi web.
  • Buat tim pengembangan Anda merasa nyaman dengan menyatakan bahwa Anda lebih suka mereka menghabiskan lebih banyak waktu untuk menulis aplikasi yang aman daripada terburu-buru merilis dengan menyalin dan menempelkan kode yang rentan dari luar.

4. Keamanan dan Tim Ahli

Banyak bisnis melihat istilah “keamanan” dan secara otomatis menganggap bahwa segala sesuatu yang terkait dengan istilah ini harus ditangani oleh tim keamanan khusus. Sayangnya, ini bukan pilihan terbaik untuk keamanan aplikasi web. Kesalahan lain yang dilakukan oleh banyak pemimpin bisnis adalah menganggap bahwa para ahli keamanan endpoint/jaringan tahu bagaimana menangani keamanan website.

Sebagai akibat dari kesalahpahaman ini, banyak bisnis berakhir dengan tim keamanan siber yang bekerja terpisah dari tim pengembang. Jika tim keamanan siber menangani keamanan aplikasi web, mereka melakukannya hanya pada tahap akhir (pementasan, pra-produksi, atau bahkan produksi langsung saja). Akibatnya, masalah keamanan aplikasi web diperbaiki beberapa minggu atau bulan setelah mereka benar-benar diperkenalkan tanpa ada yang benar-benar tahu apa yang terjadi.

Solusi :

  • Pastikan bahwa tim keamanan siber dan tim pengembang tidak terpisah. Anda bahkan dapat menugaskan pakar keamanan website untuk bekerja secara langsung dalam tim pengembang.
  • Tempatkan tim pengembang yang bertanggung jawab untuk memperbaiki masalah yang ditemukan sejak awal yang dibantu oleh alat otomatis seperti Acunetix. Tim keamanan harus dilibatkan hanya dengan konfigurasi awal atau pemeliharaan tools tersebut, bukan operasi sehari-hari mereka.

5. Kurangnya Pengetahuan Mengenai Keamanan Website

Tim pengembang umumnya memiliki dasar pengetahuan mengenai teknologi informasi dan minim keterampilan  mengenai keamanan aplikasi web. Karena kesenjangan ini, bisnis sulit mendapatkan pakar keamanan siber. Biasanya tim pengembang diajarkan segala hal mengenai teknologi kecuali cara membuat kode yang aman.

Jika Anda, sebagai pemimpin bisnis, menekankan pentingnya keamanan aplikasi web, pengembang junior yang tidak berpengalaman mungkin merasa sangat cemas tentang kemampuan mereka dalam aspek ini. Menjadi tugas Anda tidak hanya memberi tahu mereka bahwa mereka diharapkan memperhatikan keamanan tetapi juga membantu mereka belajar tentang keamanan dan merasa nyaman melakukannya

Solusi :

  • Pastikan bahwa pengembang junior tidak dihukum karena kurangnya pengetahuan/pengalaman keamanan dan tidak takut untuk meminta bantuan.
  • Motivasi tim pengembang dan beri mereka waktu dan tools yang mereka butuhkan untuk mengajari orang lain cara menghindari dan memperbaiki kerentanan keamanan aplikasi web.

6. Memperbaiki Kesalahan Orang Lain

Jika anda mencoba untuk memperbaiki dan mengajarkan tim junior untuk menghindari kesalahan keamanan, tanpa ada kontrol yang sesuai untuk memeriksa kinerja mereka maka kemajuannya akan lambat. Dalam praktiknya, tim penguji keamanan website hanya dilakukan pada tahap akhir seperti pementasan/pra-produksi atau bahkan saat produksi langsung, jadi tim pengembang tidak dapat mengetahui secara langsung kesalahan dari tim junior. Masalah dapat muncul beberapa minggu setelah diperkenalkan, meskipun masalah tersebut kembali ke pengembang asli, pengembang tersebut hanya akan mengingat sedikit tentang kode tersebut.

Dalam lingkungan yang ideal, kode harus diuji untuk kerentanan keamanan pada saat yang sama ketika sedang diuji untuk kebenaran fungsional. Artinya bahwa verifikasi keamanan harus dilakukan bersamaan dengan pengujian QA. Tools keamanan Anda harus berjalan tepat sebelum atau tepat setelah pengujian.

Solusi :

  • Jalankan pemindaian keamanan aplikasi web tidak hanya untuk rilis tetapi untuk setiap komit baru yang masuk ke cabang master Anda.
  • Integrasikan tools keamanan Anda seperti Acunetix dengan lingkungan CI/CD Anda sehingga menjadi bagian dari jalur pengembangan reguler.
Untuk mengetahui apa itu  CI/CD kami bahas secara terpisah dalam – Penggunaan Keamanan Berkelanjutan dalam Aplikasi Web.

7. Tools yang Tidak Mendukung

Pada tahap ini, mari kita asumsikan bahwa Anda telah menganalisis atau memperbaiki semua masalah yang ada. Namun, jika pilihan tools Anda tidak tepat, Anda mungkin masih mengalami hal yang sama yaitu tim pengembang yang melewatkan keamanan website.Masalah terbesar bagi tim pengembang adalah positif palsu. Jika setiap laporan dari tools Anda mungkin salah positif, pengembang sering kali membuang banyak waktu untuk mencari masalah yang sebenarnya tidak ada. Satu positif palsu dapat berarti sepuluh kali lebih banyak pekerjaan untuk pengembang daripada kerentanan yang ada.

Solusi :

  • Jangan mengandalkan keamanan Anda pada alat SAST saja – jika Anda harus menggunakan SAST, gunakan bersama dengan DAST. Alat SAST sangat mungkin menghasilkan banyak kesalahan positif.
  • Berinvestasi dalam tools yang dirancang untuk menghilangkan atau membantu Anda mengendalikan kesalahan positif. Misalnya, Acunetix menggunakan teknologi proof-of-exploit dan peringkat kepercayaan untuk menunjukkan kepada Anda kerentanan mana yang jelas bukan kesalahan positif, jadi Anda tidak perlu membuang waktu untuk mengejar yang tidak pasti.

Kesimpulannya meskipun tim pengembang benar-benar melewatkan keamanan website perusahaan, mereka hanya menjalankan apa yang ditugaskan oleh pemilik bisnis. Untuk mempermudah pekerjaan tim anda dengan memperkuat keamanan website adalah dengan memilih tools yang tepat untuk mendukung perkerjaan tim pengembang. Acunetix adalah solusi keamanan website yang tepat.

0 Comment

Leave a Comment