Tutkimus paljastaa ohjelmistoturvallisuuden viiveen valtion virastoissa

Veracoden State of Software Security Public Sector 2023 -raportin mukaan 82 prosentissa valtion sovelluksista on tietoturva-aukkoja

Julkinen sektori on edelleen joillakin alueilla enemmän kuin yksityinen sektori

Veracode, johtava älykkäiden ohjelmistojen tietoturvaratkaisujen toimittaja, julkaisi tänään tutkimuksen, jonka mukaan julkisen sektorin organisaatioiden kehittämissä sovelluksissa on yleensä enemmän tietoturvapuutteita kuin yksityisellä sektorilla luoduissa sovelluksissa. Nämä ovat merkittäviä havaintoja, koska enemmän sovelluksen heikkouksia korreloi korkeamman riskin kanssa. Tutkimus on yksi liittovaltion hallituksen viimeaikaisista lukemattomista aloitteista, joiden tavoitteena on vahvistaa kyberturvallisuutta, mukaan lukien pyrkimykset vähentää haavoittuvuuksia sovelluksissa, jotka suorittavat hallinnon kannalta kriittisiä tehtäviä.

Hakutulos

Tutkijat havaitsivat, että lähes 82 prosentissa julkisen sektorin organisaatioiden kehittämistä sovelluksista havaittiin vähintään yksi tietoturvavirhe viimeisimmässä skannauksessa viimeisen 12 kuukauden aikana, kun vastaava luku oli 74 prosenttia yksityisen sektorin organisaatioista. Todetun virheen tyypistä riippuen julkisen sektorin hakemuksissa oli suurempi todennäköisyys saada virhe viimeisen 12 kuukauden aikana, 7-12 %.

"Ero virheiden ilmentymisindeksin välillä julkisen ja yksityisen sektorin sovelluksissa on merkittävä. Hallituksen on jatkettava eron kuromista. Julkisen turvallisuuden puolustajina valtion virastot ovat vastuussa tämän aukon kuromisesta ja turvallisuuden vahvistamisesta kansakunnan ja sen kansalaisten suojelemiseksi", sanoi Chris Eng, Veracoden tutkimusjohtaja.

Yli 27 miljoonasta 750.000 XNUMX sovelluksesta tehdystä skannauksesta kerättyjen tietojen analysointi auttoi luomaan Veracoden viimeisimmän vuosittaisen ohjelmistoturvallisuusraportin. Tässä uudessa raportissa esitetään julkisen sektorin havainnot kyseisistä skannauksista ja sovelluksista, mukaan lukien liittovaltion, osavaltion ja paikallishallinnon havainnot.

Luvut eivät yksinään ilmaise hakkereiden toiminnan seurauksia, kun he käyttävät hyväkseen ohjelmistovirheitä ja haavoittuvuuksia. Tämän vuoden toukokuun alussa Dallasin kaupunkia vastaan ​​tehty lunnasohjelmahyökkäys ravisteli julkisten palvelujen ydintoimintoja, mukaan lukien yleisten turvallisuusvirastojen käyttämät tietokonejärjestelmät. Yli kolme viikkoa hyökkäyksen jälkeen Dallasin julkiset virastot eivät vieläkään olleet toipuneet.

Erittäin vakavat haavoittuvuudet: voitto julkiselle sektorille

Veracode-tutkimus korosti myös, miksi julkisen sektorin organisaatiot ovat optimistisia sovellusten turvallisuuden suhteen. ”Erittäin vakavia” virheitä havaittiin julkisen sektorin hakemuksissa (16,5 %) 12 kuukauden aikana vähemmän kuin ei-julkisen sektorin hakemuksissa (19 %). Tämä on merkittävää, koska erittäin vakavilla virheillä, jos niitä käytetään, voi olla suurempi kielteinen vaikutus järjestelmiin.

Nykyaikainen sovellustestaus kannustaa käyttämään erilaisia ​​tietoturvatarkistustyökaluja, kuten Static Security Testing (SAST) ja Software Composition Analysis (SCA), koska erityyppiset tarkistukset ovat erinomaisia ​​erityyppisten virheiden paljastamisessa. SAST ja SCA löysivät hakemusvirheitä pienemmällä prosenttiosuudella julkisen sektorin yhteisöistä kuin yksityisen sektorin sovelluksista.

Vähemmän virheiden tunnistaminen SCA-työkaluja käytettäessä voisi olla merkki toukokuun 2021 toimeenpanomääräyksen (EO 14028) ensimmäisestä vaikutuksesta, joka ohjaa Yhdysvaltain liittovaltion virastoja tehostamaan toimia ohjelmistojen toimitusketjun suojaamiseksi. Tämä EO vaatii myös ohjelmistojen materiaalilaskujen (SBOM) ja ohjelmistoissa käytettyjen aineluetteloiden lisäämistä, mikä edistää jakamista, avoimuutta ja näkyvyyttä. Muualla Federal Risk and Authorization Management Program (FedRAMP) standardoi pilvituotteiden ja -palvelujen turvallisuusarvioinnin. Samoin StateRAMP antaa osavaltioille ja paikallishallinnoille mahdollisuuden varmistaa, että pilvipalveluntarjoajat noudattavat kyberturvallisuuskäytäntöjä.

Unssi ehkäisyä on kilon parannuskeino arvoinen

Merkittävä ero julkisen ja yksityisen sektorin sovellusten välillä on se, kuinka nopeasti tarkistukset paljastavat uusia virheitä vanhentuneista ohjelmistoista. Kun ohjelmisto on ollut tuotannossa viisi vuotta, kaksi toimialaa eroavat toisistaan ​​selvästi: yksityisen sektorin sovelluksissa uusien virheiden määrä kasvaa, kun taas julkisen sektorin virastoissa vähenee.

Tämä suuntaus osoittaa, että julkisen sektorin virastot kiinnittävät enemmän huomiota sovellusten turvaamiseen ajan mittaan eivätkä vain niiden käyttöiän ensimmäisten vuosien aikana. Sen sijaan hallinnon ulkopuolisissa sovelluksissa uusien virheiden määrä lisääntyy vähitellen ja tasaisesti niiden vanhentuessa.

State of Software Security Public Sector 2023 -raportissa suositellaan neljää toimenpidettä, jotka virastojen tulisi toteuttaa parantaakseen kyberturvallisuusasemaansa.

• Palauta: Poista tunnettujen virheiden ruuhka
• Suorita säännöllisiä tarkistuksia: Satunnaiset tarkistukset vaikeuttavat virheiden korjaamista ja lisäävät edelleen ruuhkaa
• Automatisoi: Testien automatisoiminen API:iden avulla vähentää virheiden syntymistä sovelluksiin
• Lisää DAST pinoon: Käytä dynaamista tarkistusta löytääksesi virheet, joita muut tarkistustyypit ovat jättäneet huomaamatta

”Julkinen sektori on edennyt pitkälle hallitustamme palvelevien sovellusten turvallisuuden vahvistamisessa, mutta virastoilla on vielä paljon tehtävää parantaakseen kyberasentoaan ja torjuakseen tulevia uhkia. Keskittämällä tietoturvatoimet useimpien kyberloukkausten perimmäiseen syyyn – sovelluskerrokseen – virastot voivat saavuttaa tarvittavat parannukset. Säännöllinen skannaus erilaisilla testeillä ja tietoturvavelkojen – järjestelmän turvallisuutta uhkaavien ohjelmistojen kerääntyneiden haavoittuvuuksien – käsitteleminen tasoittaa tietä valtion virastojen turvallisemmalle tulevaisuudelle”, Eng päätti.

Veracoden State of Software Security -raportin julkisen sektorin tutkimuksen täysi versio on saatavilla ja tarjoaa vertailevia mittareita valtion virastojen välillä.

Tietoja ohjelmistoturvallisuusraportista

Veracoden vuosittaisen ohjelmistoturvallisuusraportin osa 13 tarkastelee ohjelmistomaailmaa muovattavia historiallisia trendejä ja sitä, kuinka tietoturvakäytännöt muuttuvat näiden trendien mukana. Tämän vuoden tulokset perustuvat kaikkiin Veracode-palveluiden ja asiakkaiden toimittamiin historiallisiin tietoihin ja edustavat poikkileikkausta suurista ja pienistä yrityksistä, kaupallisista ohjelmistotoimittajista, ohjelmistojen ulkoistajista ja avoimen lähdekoodin projekteista. Raportti sisältää tuloksia sovelluksista, joille on suoritettu staattinen analyysi, dynaaminen analyysi, ohjelmistokoostumusanalyysi ja/tai manuaalinen läpäisytestaus Veracoden pilvipohjaisen alustan kautta. Raportissa otetaan huomioon Veracode-asiakkaiden toimittamat tiedot sekä Veracoden analyysin aikana lasketut tai johdetut tiedot.

BlogInnovazione.it