مطالعہ سے پتہ چلتا ہے کہ سرکاری اداروں میں سافٹ ویئر سیکیورٹی میں کمی ہے۔

ویرا کوڈ کی اسٹیٹ آف سافٹ ویئر سیکیورٹی پبلک سیکٹر 2023 کی رپورٹ کے مطابق، 82% سرکاری ایپلی کیشنز میں حفاظتی سوراخ ہیں۔

پبلک سیکٹر اب بھی کچھ علاقوں میں اپنے نجی ہم منصب سے زیادہ ہے۔

ویرا کوڈ، ذہین سافٹ ویئر سیکیورٹی حل فراہم کرنے والے ایک سرکردہ ادارے نے آج ایک مطالعہ جاری کیا جس میں پتا چلا کہ پبلک سیکٹر کی تنظیموں کی جانب سے تیار کردہ ایپلیکیشنز میں نجی شعبے میں تخلیق کردہ ایپلی کیشنز کے مقابلے زیادہ سیکیورٹی خامیاں پائی جاتی ہیں۔ یہ اہم نتائج ہیں کیونکہ زیادہ درخواست کی کمزوریاں خطرے کی اعلی سطح کے ساتھ منسلک ہوتی ہیں۔ یہ مطالعہ وفاقی حکومت کے متعدد حالیہ اقدامات میں سے ایک ہے جس کا مقصد سائبر سیکیورٹی کو مضبوط بنانا ہے، بشمول مشن کے لیے اہم حکومتی کام انجام دینے والی ایپلی کیشنز میں کمزوریوں کو کم کرنے کی کوششیں۔

تلاش کا نتیجہ

محققین نے پایا کہ پبلک سیکٹر کی تنظیموں کی طرف سے تیار کردہ تقریباً 82% ایپلیکیشنز میں گزشتہ 12 مہینوں میں ان کے تازہ ترین اسکین میں کم از کم ایک حفاظتی خامی کا پتہ چلا جب کہ نجی شعبے کی تنظیموں کے 74% کے مقابلے میں۔ شناخت کی گئی غلطی کی قسم پر منحصر ہے، پبلک سیکٹر کی ایپلی کیشنز میں پچھلے 12 مہینوں میں 7-12% کی شرح سے غلطی متعارف کرانے کا زیادہ امکان تھا۔

"پبلک اور پرائیویٹ سیکٹر ایپلی کیشنز میں غلطی کی شرح کے درمیان فرق نمایاں ہے۔ حکومت کو اس خلا کو ختم کرنا جاری رکھنا چاہیے۔ عوامی تحفظ کے حامیوں کے طور پر، سرکاری ایجنسیوں کی ذمہ داری ہے کہ وہ اس خلا کو ختم کریں اور ملک اور اس کے شہریوں کی حفاظت کے لیے سیکورٹی کو مضبوط کریں،" ویراکوڈ کے ڈائریکٹر ریسرچ کرس اینگ نے کہا۔

27 ایپلی کیشنز میں 750.000 ملین سے زیادہ اسکینوں سے جمع کردہ ڈیٹا کے تجزیوں نے Veracode کی تازہ ترین سالانہ اسٹیٹ آف سافٹ ویئر سیکیورٹی رپورٹ تیار کرنے میں مدد کی۔ اس نئی رپورٹ میں ان اسکینز اور ایپلی کیشنز سے حاصل کردہ پبلک سیکٹر کے مخصوص نتائج کا خاکہ پیش کیا گیا ہے، بشمول وفاقی، ریاستی اور مقامی حکومت کے نتائج۔

صرف اعداد و شمار ہیکر کی کارروائیوں کے نتائج کا اظہار نہیں کرتے جب وہ سافٹ ویئر کی خرابیوں اور کمزوریوں کا استحصال کرتے ہیں۔ اس سال کے اوائل میں، ڈلاس شہر کے خلاف رینسم ویئر کے حملے نے عوامی خدمات کی بنیادی فعالیت کو ہلا کر رکھ دیا، بشمول پبلک سیفٹی ایجنسیوں کے زیر استعمال کمپیوٹر سسٹم۔ حملے کے تین ہفتوں سے زیادہ گزرنے کے بعد بھی، ڈلاس میں سرکاری ایجنسیاں ابھی تک بحال نہیں ہوئیں۔

بہت سنگین خطرات: پبلک سیکٹر کے لیے ایک فتح

ویرا کوڈ کے مطالعہ نے اس بات پر بھی روشنی ڈالی کہ پبلک سیکٹر کی تنظیمیں درخواست کی حفاظت کے بارے میں پرامید کیوں ہیں۔ 16,5 ماہ کی مدت میں پبلک سیکٹر ایپلی کیشنز میں "انتہائی سنگین" غلطیوں کی دریافت (12%) غیر سرکاری شعبے کی درخواستوں (19%) کے مقابلے میں کم تھی۔ یہ اہم ہے، کیونکہ بہت سنگین غلطیاں، اگر ان کا استحصال کیا جائے تو، سسٹمز پر زیادہ منفی اثر ڈال سکتا ہے۔

جدید ایپلیکیشن ٹیسٹنگ سیکیورٹی اسکیننگ کے مختلف ٹولز کے استعمال کی حوصلہ افزائی کرتی ہے، جیسے سٹیٹک سیکیورٹی ٹیسٹنگ (SAST) اور سافٹ ویئر کمپوزیشن اینالیسس (SCA)، کیونکہ مختلف قسم کے اسکینز مختلف قسم کی غلطیوں کو ننگا کرنے کے لیے بہترین ہیں۔ SAST اور SCA کو نجی شعبے میں درخواستوں کے مقابلے میں سرکاری شعبے میں اداروں کے کم فیصد میں درخواست کی غلطیاں پائی گئیں۔

SCA ٹولز کا استعمال کرتے وقت کم غلطیوں کی نشاندہی کرنا مئی 2021 کے ایگزیکٹو آرڈر (EO 14028) کے ابتدائی اثرات کا اشارہ دے سکتا ہے، جو امریکی وفاقی ایجنسیوں کو ہدایت کرتا ہے کہ وہ سافٹ ویئر سپلائی چین کی حفاظت کے لیے کوششیں تیز کریں۔ یہ EO سافٹ ویئر بلز آف میٹریل (SBOMs)، سافٹ ویئر میں استعمال ہونے والے مادوں کی فہرستوں کے زیادہ استعمال کا بھی مطالبہ کرتا ہے، اس طرح اشتراک، شفافیت اور مرئیت کو فروغ دیتا ہے۔ دوسری جگہوں پر، فیڈرل رسک اینڈ اتھورائزیشن مینجمنٹ پروگرام (FedRAMP) کلاؤڈ پروڈکٹس اور سروسز کے سیکورٹی کے جائزے کو معیاری بناتا ہے۔ اسی طرح، StateRAMP ریاستی اور مقامی حکومتوں کو کلاؤڈ سروس فراہم کرنے والوں کی سائبرسیکیوریٹی پالیسیوں کے ساتھ تعمیل کی تصدیق کرنے کی اجازت دیتا ہے۔

روک تھام کا ایک اونس علاج کے ایک پونڈ کے قابل ہے۔

پبلک اور پرائیویٹ سیکٹر کی ایپلی کیشنز کے درمیان ایک واضح فرق یہ ہے کہ اسکین کتنی جلدی پرانے سافٹ ویئر میں نئی ​​غلطیوں کو ننگا کرتی ہے۔ جب یہ سافٹ ویئر پانچ سالوں سے پروڈکشن میں ہے، تو دونوں صنعتیں واضح طور پر مختلف ہو جاتی ہیں: نجی شعبے کی ایپلی کیشنز میں متعارف کرائی گئی نئی غلطیوں کی شرح بڑھ جاتی ہے، جب کہ پبلک سیکٹر ایجنسیوں میں یہ شرح کم ہو جاتی ہے۔

یہ رجحان ظاہر کرتا ہے کہ پبلک سیکٹر ایجنسیاں وقت کے ساتھ ساتھ ایپلی کیشنز کو محفوظ رکھنے پر زیادہ توجہ دے رہی ہیں نہ کہ صرف اپنی مفید زندگی کے ابتدائی چند سالوں کے دوران۔ حکومت سے باہر کی درخواستیں، اس کے برعکس، نئی غلطیوں کے تعارف میں بتدریج اور مسلسل اضافہ ظاہر کرتی ہیں کیونکہ وہ متروک ہو جاتی ہیں۔

اسٹیٹ آف سافٹ ویئر سیکیورٹی پبلک سیکٹر 2023 کی رپورٹ میں چار اقدامات کی سفارش کی گئی ہے کہ ایجنسیوں کو اپنی سائبر سیکیورٹی پوزیشن کو بہتر بنانے کے لیے کرنا چاہیے۔

• بازیافت کریں: معلوم غلطیوں کے بیک لاگ کو ختم کریں۔
• وقفہ وقفہ سے اسکین کریں: بے ترتیب اسکین غلطیوں کو ٹھیک کرنا مزید مشکل بنا دیتے ہیں، اور بیک لاگ میں مزید اضافہ ہوتا ہے۔
• خودکار: APIs کے ذریعے ٹیسٹوں کو خودکار بنانا ایپلی کیشنز میں غلطیوں کے تعارف کو کم کرتا ہے۔
• DAST کو اسٹیک میں شامل کریں: اسکین کی دوسری اقسام سے چھوٹ جانے والی غلطیوں کو ننگا کرنے کے لیے متحرک اسکیننگ کا استعمال کریں

"پبلک سیکٹر نے ہماری حکومت کی خدمت کرنے والی ایپلی کیشنز کی حفاظت کو مضبوط بنانے میں ایک طویل سفر طے کیا ہے، لیکن ایجنسیوں کو اپنی سائبر پوزیشن کو بہتر بنانے اور آنے والے خطرات کو روکنے کے لیے ابھی بھی طویل سفر طے کرنا ہے۔ زیادہ تر سائبر خلاف ورزیوں کی بنیادی وجہ — ایپلیکیشن لیئر — پر سیکیورٹی کی کوششوں پر توجہ مرکوز کرکے ایجنسیاں ضروری بہتری حاصل کر سکتی ہیں۔ وقتاً فوقتاً مختلف قسم کے ٹیسٹوں کے ساتھ اسکین کرنا اور سیکیورٹی قرضوں کو دور کرنا — سافٹ ویئر میں جمع کمزوریاں جو کسی سسٹم کی سیکیورٹی کو خطرہ بناتی ہیں — حکومتی اداروں کے لیے زیادہ محفوظ مستقبل کی راہ ہموار کرے گی،‘‘ Eng نے نتیجہ اخذ کیا۔

Veracode کی اسٹیٹ آف سافٹ ویئر سیکیورٹی رپورٹ سے پبلک سیکٹر اسٹڈی کا مکمل ورژن دستیاب ہے اور تمام سرکاری اداروں میں تقابلی میٹرکس پیش کرتا ہے۔

اسٹیٹ آف سافٹ ویئر سیکیورٹی رپورٹ کے بارے میں

Veracode کی سالانہ اسٹیٹ آف سافٹ ویئر سیکیورٹی رپورٹ کا والیم 13 سافٹ ویئر کے منظر نامے کو تشکیل دینے والے تاریخی رجحانات اور ان رجحانات کے ساتھ سیکیورٹی کے طریقوں میں تبدیلی کا جائزہ لیتا ہے۔ اس سال کے نتائج Veracode سروسز اور صارفین کے فراہم کردہ تمام تاریخی ڈیٹا پر مبنی ہیں اور بڑی اور چھوٹی کمپنیوں، تجارتی سافٹ ویئر فروشوں، سافٹ ویئر آؤٹ سورسرز اور اوپن سورس پروجیکٹس کے کراس سیکشن کی نمائندگی کرتے ہیں۔ رپورٹ میں ویرا کوڈ کے کلاؤڈ بیسڈ پلیٹ فارم کے ذریعے جامد تجزیہ، متحرک تجزیہ، سافٹ ویئر کمپوزیشن تجزیہ، اور/یا دستی دخول کی جانچ سے مشروط ایپلی کیشنز کے نتائج شامل ہیں۔ رپورٹ میں Veracode کے صارفین کی طرف سے فراہم کردہ ڈیٹا اور Veracode کے تجزیہ کے دوران کی گئی یا اخذ کردہ معلومات پر غور کیا گیا ہے۔

BlogInnovazione.it