Julkinen sektori on edelleen joillakin alueilla enemmän kuin yksityinen sektori
Veracode, johtava älykkäiden ohjelmistojen tietoturvaratkaisujen toimittaja, julkaisi tänään tutkimuksen, jonka mukaan julkisen sektorin organisaatioiden kehittämissä sovelluksissa on yleensä enemmän tietoturvapuutteita kuin yksityisellä sektorilla luoduissa sovelluksissa. Nämä ovat merkittäviä havaintoja, koska enemmän sovelluksen heikkouksia korreloi korkeamman riskin kanssa. Tutkimus on yksi liittovaltion hallituksen viimeaikaisista lukemattomista aloitteista, joiden tavoitteena on vahvistaa kyberturvallisuutta, mukaan lukien pyrkimykset vähentää haavoittuvuuksia sovelluksissa, jotka suorittavat hallinnon kannalta kriittisiä tehtäviä.
Tutkijat havaitsivat, että lähes 82 prosentissa julkisen sektorin organisaatioiden kehittämistä sovelluksista havaittiin vähintään yksi tietoturvavirhe viimeisimmässä skannauksessa viimeisen 12 kuukauden aikana, kun vastaava luku oli 74 prosenttia yksityisen sektorin organisaatioista. Todetun virheen tyypistä riippuen julkisen sektorin hakemuksissa oli suurempi todennäköisyys saada virhe viimeisen 12 kuukauden aikana, 7-12 %.
"Ero virheiden ilmentymisindeksin välillä julkisen ja yksityisen sektorin sovelluksissa on merkittävä. Hallituksen on jatkettava eron kuromista. Julkisen turvallisuuden puolustajina valtion virastot ovat vastuussa tämän aukon kuromisesta ja turvallisuuden vahvistamisesta kansakunnan ja sen kansalaisten suojelemiseksi", sanoi Chris Eng, Veracoden tutkimusjohtaja.
Yli 27 miljoonasta 750.000 XNUMX sovelluksesta tehdystä skannauksesta kerättyjen tietojen analysointi auttoi luomaan Veracoden viimeisimmän vuosittaisen ohjelmistoturvallisuusraportin. Tässä uudessa raportissa esitetään julkisen sektorin havainnot kyseisistä skannauksista ja sovelluksista, mukaan lukien liittovaltion, osavaltion ja paikallishallinnon havainnot.
Luvut eivät yksinään ilmaise hakkereiden toiminnan seurauksia, kun he käyttävät hyväkseen ohjelmistovirheitä ja haavoittuvuuksia. Tämän vuoden toukokuun alussa Dallasin kaupunkia vastaan tehty lunnasohjelmahyökkäys ravisteli julkisten palvelujen ydintoimintoja, mukaan lukien yleisten turvallisuusvirastojen käyttämät tietokonejärjestelmät. Yli kolme viikkoa hyökkäyksen jälkeen Dallasin julkiset virastot eivät vieläkään olleet toipuneet.
Veracode-tutkimus korosti myös, miksi julkisen sektorin organisaatiot ovat optimistisia sovellusten turvallisuuden suhteen. ”Erittäin vakavia” virheitä havaittiin julkisen sektorin hakemuksissa (16,5 %) 12 kuukauden aikana vähemmän kuin ei-julkisen sektorin hakemuksissa (19 %). Tämä on merkittävää, koska erittäin vakavilla virheillä, jos niitä käytetään, voi olla suurempi kielteinen vaikutus järjestelmiin.
Nykyaikainen sovellustestaus kannustaa käyttämään erilaisia tietoturvatarkistustyökaluja, kuten Static Security Testing (SAST) ja Software Composition Analysis (SCA), koska erityyppiset tarkistukset ovat erinomaisia erityyppisten virheiden paljastamisessa. SAST ja SCA löysivät hakemusvirheitä pienemmällä prosenttiosuudella julkisen sektorin yhteisöistä kuin yksityisen sektorin sovelluksista.
Vähemmän virheiden tunnistaminen SCA-työkaluja käytettäessä voisi olla merkki toukokuun 2021 toimeenpanomääräyksen (EO 14028) ensimmäisestä vaikutuksesta, joka ohjaa Yhdysvaltain liittovaltion virastoja tehostamaan toimia ohjelmistojen toimitusketjun suojaamiseksi. Tämä EO vaatii myös ohjelmistojen materiaalilaskujen (SBOM) ja ohjelmistoissa käytettyjen aineluetteloiden lisäämistä, mikä edistää jakamista, avoimuutta ja näkyvyyttä. Muualla Federal Risk and Authorization Management Program (FedRAMP) standardoi pilvituotteiden ja -palvelujen turvallisuusarvioinnin. Samoin StateRAMP antaa osavaltioille ja paikallishallinnoille mahdollisuuden varmistaa, että pilvipalveluntarjoajat noudattavat kyberturvallisuuskäytäntöjä.
Merkittävä ero julkisen ja yksityisen sektorin sovellusten välillä on se, kuinka nopeasti tarkistukset paljastavat uusia virheitä vanhentuneista ohjelmistoista. Kun ohjelmisto on ollut tuotannossa viisi vuotta, kaksi toimialaa eroavat toisistaan selvästi: yksityisen sektorin sovelluksissa uusien virheiden määrä kasvaa, kun taas julkisen sektorin virastoissa vähenee.
Tämä suuntaus osoittaa, että julkisen sektorin virastot kiinnittävät enemmän huomiota sovellusten turvaamiseen ajan mittaan eivätkä vain niiden käyttöiän ensimmäisten vuosien aikana. Sen sijaan hallinnon ulkopuolisissa sovelluksissa uusien virheiden määrä lisääntyy vähitellen ja tasaisesti niiden vanhentuessa.
”Julkinen sektori on edennyt pitkälle hallitustamme palvelevien sovellusten turvallisuuden vahvistamisessa, mutta virastoilla on vielä paljon tehtävää parantaakseen kyberasentoaan ja torjuakseen tulevia uhkia. Keskittämällä tietoturvatoimet useimpien kyberloukkausten perimmäiseen syyyn – sovelluskerrokseen – virastot voivat saavuttaa tarvittavat parannukset. Säännöllinen skannaus erilaisilla testeillä ja tietoturvavelkojen – järjestelmän turvallisuutta uhkaavien ohjelmistojen kerääntyneiden haavoittuvuuksien – käsitteleminen tasoittaa tietä valtion virastojen turvallisemmalle tulevaisuudelle”, Eng päätti.
Veracoden State of Software Security -raportin julkisen sektorin tutkimuksen täysi versio on saatavilla ja tarjoaa vertailevia mittareita valtion virastojen välillä.
Veracoden vuosittaisen ohjelmistoturvallisuusraportin osa 13 tarkastelee ohjelmistomaailmaa muovattavia historiallisia trendejä ja sitä, kuinka tietoturvakäytännöt muuttuvat näiden trendien mukana. Tämän vuoden tulokset perustuvat kaikkiin Veracode-palveluiden ja asiakkaiden toimittamiin historiallisiin tietoihin ja edustavat poikkileikkausta suurista ja pienistä yrityksistä, kaupallisista ohjelmistotoimittajista, ohjelmistojen ulkoistajista ja avoimen lähdekoodin projekteista. Raportti sisältää tuloksia sovelluksista, joille on suoritettu staattinen analyysi, dynaaminen analyysi, ohjelmistokoostumusanalyysi ja/tai manuaalinen läpäisytestaus Veracoden pilvipohjaisen alustan kautta. Raportissa otetaan huomioon Veracode-asiakkaiden toimittamat tiedot sekä Veracoden analyysin aikana lasketut tai johdetut tiedot.
BlogInnovazione.it
Käyttöliittymän erotteluperiaate on yksi oliosuuntautuneen suunnittelun viidestä SOLID-periaatteesta. Luokassa pitäisi olla…
Microsoft Excel on vertailutyökalu tietojen analysointiin, koska se tarjoaa monia ominaisuuksia tietojoukkojen järjestämiseen,…
Walliance, SIM ja alusta Euroopan johtajien joukossa kiinteistöjen joukkorahoituksen alalla vuodesta 2017 lähtien, ilmoittaa valmistuneensa…
Filament on "kiihdytetty" Laravel-kehityskehys, joka tarjoaa useita täyden pinon komponentteja. Se on suunniteltu yksinkertaistamaan prosessia…
"Minun on palattava saadakseni evoluutioni päätökseen: projisoin itseni tietokoneen sisään ja minusta tulee puhdasta energiaa. Asuttuaan…
Google DeepMind esittelee parannetun version tekoälymallistaan. Uusi parannettu malli tarjoaa paitsi…
Laravel, joka on kuuluisa elegantista syntaksistaan ja tehokkaista ominaisuuksistaan, tarjoaa myös vankan perustan modulaariselle arkkitehtuurille. Siellä…
Cisco ja Splunk auttavat asiakkaita nopeuttamaan matkaansa tulevaisuuden Security Operations Centeriin (SOC)…