Sobre a falta de investimento na segurança aplicacional

Um apontamento excelente por Jeremiah Grossman:

Um estudo recente publicado pela 7Safe, UK Security Breach Investigations Report, analisou sessenta e duas investigações de quebras de segurança e afirmou que em 86% dos ataques, foi explorada uma fragilidade numa interface web (vs 14% na infra-estrutura) e os atacantes eram predominantemente externos (80%).

(...)

A razão pela qual os problemas de segurança Web persistem não é a falta de pessoas com conhecimento (embora pudéssemos ter mais), nem a falta de ferramentas de segurança perfeitas (embora pudessem ser muito melhores), nem a eficácia dos processos de desenvolvimento aplicacional (ainda em maturação). A razão fundamental prende-se com uma coisa que eu próprio, entre outros, temos vindo a dizer persistentemente há algum tempo. As organizações gastam o dinheiro atribuído à segurança em protecções contra os ataques de ontem, ao nível da rede/infra-estrutura, enquanto ignoram as ameaças reais no presente.

(...)

Se os gastos com a segurança podem ser justificados em áreas onde os ataques já não acontecem, então talvez possamos justificar mais tempo, dinheiro, e esforço na segurança das aplicações, que é onde as batalhas estão a ser travadas.

in Infrastructure vs. Application Security Spending.

Está tudo dito. O artigo inclui ainda umas extrapolações e comparações entre a quantidade de recursos (leia-se, dinheiro) atribuídos à segurança na infra-estrutura e nas aplicações. Worth reading.