Egy iparági tanulmány szerint a jelentősebb update-ek nagyjából felénél teljesen elmarad a kód biztonsági szempontú felülvizsgálata. Mindez kritikus sérülékenységekhez vezethet, amelyeket nem győznek időben javítani a védelemért felelős szakemberek.

Több kritikus pontra is rávilágít a biztonsági piacon érdekelt CrowdStrike nemrégiben közzétett éves jelentése. A State of Application Security Report számai ugyan csak 400 egyesült államokbeli biztonsági szakember válaszain alapulnak, feltételezhető, hogy a világ más részein sem sokkal rózsásabb a helyzet.

Az anyag egyik megállapítása szerint ahogy nő a szoftverprojektek száma, a fejlesztőcsapatok száma és a telepítés gyakorisága, úgy nő a szervezeten belül használt programozási nyelvek száma is. Ahol havonta csak néhány telepítés történik, ott az összességéven használt nyelvek átlagos száma nem éri el a 3,4-et, miközben a napi aktivitást produkáló szervezeteknél ez a mutató meghaladja az 5,4-et is.

További probléma, hogy elsősorban az üzleti oldalról érkező nyomás miatt sok helyen megfigyelhető egyfajta frissítési kényszer, a kvázi folyamatos update-ekkel viszont láthatóan képtelen lépést tartani a biztonsági részleg. A válaszok alapján a CrowdStrike arra jutott, hogy a jelentősebb kódváltozással járó alkalmazásfejlesztések mindössze 54 százalékánál történik meg a szoftver kiberbiztonsági felülvizsgálata.

 

Biztonsági ellenőrzések aránya az alkalmazások komolyabb kódváltozásánál (forrás: CrowdStrike)


Ahogy a fenti oszlopokból is kitűnik, a legtöbb szervezetnél csak nagyjából a kódsorok felét tudják átnézni biztonsági szempontból. Ennek egyik oka az, hogy ezek a felülvizsgálatok meglehetősen időigényesek, az idő pedig pénz, amiből jellemzően nincs végtelen egység készleten. Csak nagyjából a vállalatok ötödénél tudnak egy nap alatt végezni ezzel, míg a válaszadók szűk fele szerint tipikusan 1-3 napot vesz mindez igénybe. A többieknél pedig ennél is tovább tart a procedúra.

A biztonsági vezetők 61 százaléka szerint az egyik legnagyobb kihívást az jelenti a fejlesztői csapattal való közös munka során, hogy meghatározzák a javítandó, ellenőrizendő dolgok prioritását, szintén sokan (55%) említették a nem megfelelő vizibilitást, továbbá 52 százalékan tarják hátráltató tényezőnek a "rosszul összehangolt eszközöket/technológiát".

Kritikus lassúság

A riport egyik legfontosabb megállapítása, hogy a leterhelt biztonsági csapatok nem képesek időben reagálni a súlyos, azonnali beavatkozást igénylő incidensekre. A válaszadók mindössze 30 százaléka nyilatkozta, hogy a kritikus minősítésű biztonsági problémákat 12 órán belül képesek megoldani. A szervezetek több mint negyedénél viszont jellemzően több mint 3 napot vesz igénybe a megfelelő reagálás.

A kutatás összefoglalójában a fentieket úgy interpretálták a szakértők, hogy "az alkalmazások és az API-k nem elég biztonságosak”, és mivel a támadók nem lazsálnak, "elengedhetetlen, hogy a szervezetek megerősítsék az alkalmazásbiztonsági helyzetüket”. Szerencsés egybeesés, hogy erre pont van egy szakajtónyi terméke és szolgáltatása a jelentést készítő biztonsági cégnek...

Biztonság

Már a rajtnál megmakkant Donald Trump kriptoüzlete

Korábban 300 millió dollárra számítottak a World Liberty Financial (WLFI) tokenek eladásából, első körben 12 millió jött össze belőle.
 
Hirdetés

ITSM a gyakorlatban

Három fájdalompont, amire az IT szolgáltatásmenedzsment gyors válaszokat adhat.

Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.

a melléklet támogatója a Clico Hungary

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.