ΑρχικήsecurityΗ ασφάλεια εφαρμογών προκαλεί ανησυχία στους CISOs

Η ασφάλεια εφαρμογών προκαλεί ανησυχία στους CISOs

Έρευνα διαπιστώνει ότι η κορυφαία ανησυχία των ειδικών της ασφάλειας είναι τα σφάλματα εφαρμογών, αλλά ότι η ανησυχία δεν μεταφράζεται σε ασφαλείς πρακτικές ανάπτυξης.

security-lock-ασφάλεια

Οι ευπάθειες των εφαρμογών και το malware συνεχίζουν να είναι στην κορυφή της λίστας των επαγγελματιών στον τομέα της ασφάλειας, αλλά οι ανησυχίες δεν έχουν μεταφραστεί σε υιοθέτηση ασφαλών πρακτικών ανάπτυξης, βήμα που θα βελτίωνε τα σφάλματα ασφάλειας των εφαρμογών και εντόπιζε τα σφάλματα λογισμικού νωρίτερα.

Εβδομήντα δύο τοις εκατό των περίπου 14.000 Chief Information Security Officers (CIOs) και άλλων επαγγελματιών της ασφάλειας που συμμετείχαν στην έρευνα ανέφεραν ότι οι ευπάθειες των εφαρμογών αποτελούσε κορυφαία ανησυχία γι’ αυτούς, σύμφωνα με την διετή έρευνα «Global Information Security Workforce Study» που δημοσιεύθηκε από το International Information Systems Security Certification Consortium (ISC) 2. Ωστόσο, μόνο το 24 τοις εκατό των επαγγελματιών της ασφάλειας αναφέρουν ότι οι εταιρείες τους πάντα κάνουν έλεγχο για σφάλματα κατά τη διάρκεια της διαδικασίας ανάπτυξης κώδικα, ενώ το 46 τοις εκατό ψάχνουν για σφάλματα μερικές φορές κατά τη διάρκεια της ανάπτυξης.

Η διαφορά μεταξύ των ανησυχιών των επαγγελματιών της ασφάλειας και των εταιρικών πρακτικών υπογραμμίζει τη σημασία της εκπαίδευσης των εταιρειών για την αξία της ασφαλούς ανάπτυξης εφαρμογών, δήλωσε ο David Shearer, Εκτελεστικός Διευθυντής του (ISC) 2.

“Η ουσία είναι ότι υπάρχει μια ένταση μεταξύ της παράδοσης [λογισμικού] και της τήρησης του χρονοδιαγράμματος και η εκτέλεση της πρόσθετης εργασίας που απαιτείται για την οικοδόμηση της ασφάλειας των εφαρμογών στο στάδιο του κώδικα- υπάρχει μια ένταση εκεί», ανέφερε.

Η έρευνα του (ISC) 2, που ετοιμάστηκε από την Frost & Sullivan, προβλέπει ότι μια δραστική έλλειψη σε επαγγελματίες της κυβερνο-ασφάλειας θα έχει σημαντικό αντίκτυπο σε μια ποικιλία λειτουργιών της ασφάλειας των πληροφοριών. Η έρευνα του 2015 έδειξε ότι το 62 τοις εκατό των ερωτηθέντων δήλωσαν ότι οι εταιρείες τους δεν έχουν αρκετούς επαγγελματίες ασφάλειας πληροφοριών, ποσοστό αυξημένο σε σχέση με το 56 τοις εκατό που αισθάνθηκε αντίστοιχο έλλειμα στη μελέτη του 2013.

Ένα βασικό πρόβλημα για τους επαγγελματίες της ασφάλειας είναι η διαχείριση των ευπαθειών των εφαρμογών, με το 72 τοις εκατό, να την θεωρεί ως κορυφαία ανησυχία. Η σάρωση για ευπάθειες σε εφαρμογές, είτε μέσω στατικής ανάλυσης είτε μέσω δυναμικών δοκιμών, είναι μια βασική μέθοδος εντοπισμού των ευπαθειών μιας εφαρμογής, αλλά το 30 τοις εκατό των εταιρειών δεν έχει ποτέ σκανάρει για τρωτά σημεία κατά την ανάπτυξη κώδικα, σύμφωνα με την έρευνα.

Η επιθυμία για έλεγχο των εφαρμογών αυξήθηκε δραστικά κατόπιν παραβίασης ή εισβολής που ανακαλύφθηκε από την εταιρεία καθώς το 58 τοις εκατό των εταιρειών έλεγξε όλες τις εφαρμογές μετά από κάποιο περιστατικό ασφαλείας, σε σύγκριση με το 24 τοις εκατό που έλεγξε τις εφαρμογές με συνέπεια κατά τη διάρκεια της ανάπτυξης κώδικα.

Λόγω της έντασης που δημιουργείται μεταξύ της ταχείας ανάπτυξης του λογισμικού και του χρόνου που απαιτείται για τον σχεδιασμό της ασφάλειας του προϊόντος και την εξάλειψη πιθανών σφαλμάτων ασφαλείας, οι περισσότερες εταιρείες θα συνεχίσουν να πραγματοποιούν σάρωση εφαρμογής μόνο αφότου το λογισμικού βγει σε παραγωγή ή ύστερα από παραβίαση, είπε ο Shearer. Έως ότου οι απαιτήσεις σχετικά με την ασφάλεια των εφαρμογών γίνει μέρος της σύμβασης μεταξύ του παρόχου και του πελάτη, η συγκεκριμένη τάση είναι πιθανό να συνεχιστεί.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS