ระบบอัตโนมัติและการฝึกอบรมเป็นตัวขับเคลื่อนหลักของความปลอดภัยของซอฟต์แวร์สำหรับอุตสาหกรรมบริการทางการเงิน ตามข้อมูลของ Veracode

72% ของแอปพลิเคชันบริการทางการเงินมีข้อบกพร่องด้านความปลอดภัย การสแกนที่เปิดใช้ API และการฝึกอบรมด้านความปลอดภัยเชิงโต้ตอบช่วยลดโอกาสที่จะเกิดข้อบกพร่องได้ถึง 22%

Veracode ผู้ให้บริการชั้นนำด้านโซลูชันซอฟต์แวร์รักษาความปลอดภัยอัจฉริยะ ได้เปิดตัวงานวิจัยใหม่ที่เปิดเผยปัจจัยสำคัญที่มีอิทธิพลต่อการเกิดและการสะสมข้อบกพร่องในอุตสาหกรรมบริการทางการเงิน ประสิทธิภาพการรักษาความปลอดภัยของแอปพลิเคชันทางการเงินโดยทั่วไปนั้นเหนือกว่าอุตสาหกรรมอื่นๆ ด้วยระบบอัตโนมัติ การฝึกอบรมด้านความปลอดภัยแบบกำหนดเป้าหมาย และการสแกน Application Programming Interface (API) ที่ช่วยลดเปอร์เซ็นต์ของแอปพลิเคชันที่มีข้อบกพร่องปีต่อปี

ในบริบทที่กำหนดโดยกฎระเบียบสำคัญที่ส่งผลกระทบต่อภาคบริการทางการเงิน รวมถึงกฎการเปิดเผยข้อมูลของ โลกไซเบอร์ ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา และ Digital Operational Resilience Act (DORA) ของสหภาพยุโรป การศึกษาของ Veracode ได้ให้คำแนะนำเพื่อลดความเสี่ยงต่อช่องโหว่ของซอฟต์แวร์ แม้ว่าแอปพลิเคชันบริการทางการเงินเกือบ 72% มีข้อบกพร่องด้านความปลอดภัย แต่ก็เป็นภาคส่วนที่มีเปอร์เซ็นต์ต่ำที่สุด ซึ่งพัฒนาขึ้นจากปีที่แล้ว

“จากการวิเคราะห์ในปีนี้ บริการทางการเงินทำได้ดีทั่วทุกด้าน” Giuseppe Trovato หัวหน้านักวิจัยด้านความปลอดภัยของ Veracode อธิบาย “การแข่งขันที่เพิ่มขึ้นและความคาดหวังของลูกค้า รวมกับกฎระเบียบที่เข้มงวดมากขึ้นทั่วทั้งอุตสาหกรรม ได้สร้างความกดดันให้กับนักพัฒนาและทีมรักษาความปลอดภัยในการค้นหาและแก้ไขข้อบกพร่องในวงกว้าง นอกจากนี้ การระเบิดของ AI และ Machine Learning ได้ผลักดันการพัฒนาซอฟต์แวร์ไปสู่ระดับใหม่ ซึ่งนำไปสู่การเพิ่มจำนวนข้อบกพร่องมากมาย อุตสาหกรรมทำได้ดีในการปรับปรุงประสิทธิภาพ แต่ก็ยังมีสิ่งที่ต้องทำอีกมาก และองค์กรทางการเงินจะได้รับประโยชน์จากระบบอัตโนมัติที่ดีขึ้นและเทคนิคการเข้ารหัสที่ปลอดภัย ซึ่งช่วยป้องกัน ตรวจจับ และตอบสนองต่อช่องโหว่ได้เร็วกว่าที่เคย”

การสแกนผ่าน API และการฝึกอบรมช่วยลดโอกาสที่จะเกิดข้อบกพร่อง

การวิจัยของ Veracode พบว่าองค์กรที่ให้บริการทางการเงินเห็นผลเชิงบวกจากการสแกน API และการฝึกอบรมด้านความปลอดภัยมากกว่าค่าเฉลี่ยในอุตสาหกรรมอื่นๆ การสแกน API เป็นการวัดความสมบูรณ์ของโปรแกรมรักษาความปลอดภัยซอฟต์แวร์ และบริษัทที่รวมการใช้ API เข้าด้วยกันมีแนวโน้มที่จะมีระบบอัตโนมัติและการควบคุมไปป์ไลน์การพัฒนาที่ดีกว่า ในความเป็นจริง การสแกน API ที่ใช้ประโยชน์จากการสแกนจะทำงานได้ดีกว่าความน่าจะเป็นพื้นฐานของบริษัทที่ไม่ใช่สถาบันการเงินถึง 11% ในการแนะนำช่องโหว่ต่อเดือน การเพิ่มการฝึกอบรมด้านความปลอดภัยเชิงโต้ตอบจะช่วยลดผลลัพธ์นี้และปัจจัยทั้งสองเมื่อรวมกันจะช่วยลดความน่าจะเป็นที่จะเกิดข้อบกพร่องได้ถึง 19% ต่อเดือน

ผลกระทบของการสแกน API และการฝึกอบรมด้านความปลอดภัยต่อจำนวนข้อบกพร่องที่เกิดขึ้นนั้นชัดเจนยิ่งขึ้น หลังจากเสร็จสิ้นโมดูลการฝึกอบรมด้านความปลอดภัยเชิงโต้ตอบ 10 โมดูลแล้ว ทีมบริการทางการเงินพบช่องโหว่น้อยลง 26% ส่งผลให้ผลการดำเนินงานของอุตสาหกรรมสูงกว่าค่าเฉลี่ยของอุตสาหกรรมอย่างมาก ในทำนองเดียวกัน การเปิดตัวการสแกน API มีอิทธิพลต่อจำนวนข้อบกพร่องที่เกิดในแอปพลิเคชันบริการทางการเงินมากกว่าอุตสาหกรรมอื่นๆ

Giuseppe Trovato กล่าวเสริมว่า “ข้อมูลดังกล่าวบ่งชี้ว่าองค์กรที่ให้บริการทางการเงินได้รับประโยชน์อย่างมากจากระบบอัตโนมัติผ่านการใช้ API การบรรลุระบบอัตโนมัติเป็นความปรารถนาสำหรับหลาย ๆ คน แต่เราเห็นว่าการเริ่มต้นการสแกนผ่าน API มีความสัมพันธ์กับโอกาสที่จะเกิดข้อบกพร่องและจำนวนที่ลดลง และไม่น่าแปลกใจที่การฝึกอบรมก็มีความสัมพันธ์โดยตรงเช่นกัน”

บทบาทของ AI และการเรียนรู้ของเครื่อง

รายงาน State of Software Security ยังวิเคราะห์การตั้งค่าภาษาตามประเภทอุตสาหกรรม และพบว่า Java ร้อยละ 51 เกือบจะเป็นมาตรฐานในการให้บริการทางการเงิน Veracode Fix เครื่องมือพิสูจน์อักษรที่ใช้ซอฟต์แวร์ปัญญาประดิษฐ์ซึ่งเปิดตัวเมื่อต้นปีนี้ใช้ประโยชน์จาก เรียนรู้เครื่อง เพื่อสร้างการแก้ไขสำหรับ 74% ของผลลัพธ์คงที่ของ Java การลดเวลาและความพยายามลงอย่างมากช่วยให้บริษัทต่างๆ ปรับปรุงการรักษาความปลอดภัยและลดความเสี่ยงลงอีก ทำให้เพิ่มขีดความสามารถด้านนวัตกรรมและการสร้างสรรค์ได้มากขึ้น นอกจากนี้ เนื่องจากแอปพลิเคชัน Java ประกอบด้วยโค้ดบุคคลที่สามเป็นส่วนใหญ่ (>95%) ข้อมูล Veracode จึงแสดงให้เห็นถึงประโยชน์ของการวิเคราะห์องค์ประกอบของซอฟต์แวร์เพื่อเพิ่มความปลอดภัยและความสมบูรณ์ของการรวมโค้ดโอเพ่นซอร์ส

รหัส Vera

Veracode คือซอฟต์แวร์รักษาความปลอดภัยอัจฉริยะ แพลตฟอร์มการรักษาความปลอดภัยของซอฟต์แวร์ของ Veracode จะตรวจจับข้อบกพร่องและช่องโหว่ในทุกขั้นตอนของวงจรการพัฒนาซอฟต์แวร์สมัยใหม่อย่างสม่ำเสมอ ด้วย AI อันทรงพลังที่ได้รับการฝึกฝนบนโค้ดหลายล้านล้านบรรทัด ลูกค้าของ Veracode จึงแก้ไขข้อบกพร่องได้รวดเร็วและแม่นยำยิ่งขึ้น ได้รับความไว้วางใจจากทีมรักษาความปลอดภัย นักพัฒนา และผู้นำธุรกิจจากองค์กรชั้นนำของโลกนับพันแห่ง Veracode เป็นผู้นำและยังคงดำเนินการอย่างต่อเนื่องdefiไม่มีความหมายของความปลอดภัยของซอฟต์แวร์อัจฉริยะ

BlogInnovazione.it