Egy iparági tanulmány szerint a jelentősebb update-ek nagyjából felénél teljesen elmarad a kód biztonsági szempontú felülvizsgálata. Mindez kritikus sérülékenységekhez vezethet, amelyeket nem győznek időben javítani a védelemért felelős szakemberek.

Több kritikus pontra is rávilágít a biztonsági piacon érdekelt CrowdStrike nemrégiben közzétett éves jelentése. A State of Application Security Report számai ugyan csak 400 egyesült államokbeli biztonsági szakember válaszain alapulnak, feltételezhető, hogy a világ más részein sem sokkal rózsásabb a helyzet.

Az anyag egyik megállapítása szerint ahogy nő a szoftverprojektek száma, a fejlesztőcsapatok száma és a telepítés gyakorisága, úgy nő a szervezeten belül használt programozási nyelvek száma is. Ahol havonta csak néhány telepítés történik, ott az összességéven használt nyelvek átlagos száma nem éri el a 3,4-et, miközben a napi aktivitást produkáló szervezeteknél ez a mutató meghaladja az 5,4-et is.

További probléma, hogy elsősorban az üzleti oldalról érkező nyomás miatt sok helyen megfigyelhető egyfajta frissítési kényszer, a kvázi folyamatos update-ekkel viszont láthatóan képtelen lépést tartani a biztonsági részleg. A válaszok alapján a CrowdStrike arra jutott, hogy a jelentősebb kódváltozással járó alkalmazásfejlesztések mindössze 54 százalékánál történik meg a szoftver kiberbiztonsági felülvizsgálata.

 

Biztonsági ellenőrzések aránya az alkalmazások komolyabb kódváltozásánál (forrás: CrowdStrike)


Ahogy a fenti oszlopokból is kitűnik, a legtöbb szervezetnél csak nagyjából a kódsorok felét tudják átnézni biztonsági szempontból. Ennek egyik oka az, hogy ezek a felülvizsgálatok meglehetősen időigényesek, az idő pedig pénz, amiből jellemzően nincs végtelen egység készleten. Csak nagyjából a vállalatok ötödénél tudnak egy nap alatt végezni ezzel, míg a válaszadók szűk fele szerint tipikusan 1-3 napot vesz mindez igénybe. A többieknél pedig ennél is tovább tart a procedúra.

A biztonsági vezetők 61 százaléka szerint az egyik legnagyobb kihívást az jelenti a fejlesztői csapattal való közös munka során, hogy meghatározzák a javítandó, ellenőrizendő dolgok prioritását, szintén sokan (55%) említették a nem megfelelő vizibilitást, továbbá 52 százalékan tarják hátráltató tényezőnek a "rosszul összehangolt eszközöket/technológiát".

Kritikus lassúság

A riport egyik legfontosabb megállapítása, hogy a leterhelt biztonsági csapatok nem képesek időben reagálni a súlyos, azonnali beavatkozást igénylő incidensekre. A válaszadók mindössze 30 százaléka nyilatkozta, hogy a kritikus minősítésű biztonsági problémákat 12 órán belül képesek megoldani. A szervezetek több mint negyedénél viszont jellemzően több mint 3 napot vesz igénybe a megfelelő reagálás.

A kutatás összefoglalójában a fentieket úgy interpretálták a szakértők, hogy "az alkalmazások és az API-k nem elég biztonságosak”, és mivel a támadók nem lazsálnak, "elengedhetetlen, hogy a szervezetek megerősítsék az alkalmazásbiztonsági helyzetüket”. Szerencsés egybeesés, hogy erre pont van egy szakajtónyi terméke és szolgáltatása a jelentést készítő biztonsági cégnek...

Biztonság

Linus Torvalds eligazította a generatív mesterséges intelligenciát

Már nagyon hiányzott a megfelelő iránymutatás a linuxos közösségnek.
 
Hirdetés

Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében

"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.

Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

a melléklet támogatója a Clico Hungary

Hirdetés

Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni

A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.