У 13-му випуску Звіту про стан безпеки програмного забезпечення публікуються тенденції у сфері програмного забезпечення та те, як розвивається практика безпеки. Деякі результати викликають занепокоєння: у 82 відсотках програм, розроблених у державному секторі, було виявлено принаймні одну вразливість у безпеці, порівняно з 74 відсотками в приватних компаніях.
Дослідження «Стан безпеки програмного забезпечення» показало, що додатки державного сектору, як правило, мають більше вразливостей, ніж програми приватного сектору. Більша кількість помилок і вразливостей у програмах корелює з підвищеним ризиком безпеки. Дослідження проводилося на тлі низки глобальних урядових ініціатив щодо покращення кібербезпеки, таких як Закон ЄС про кіберстійкість, метою якого є запровадження додаткових мінімальних вимог безпеки для продуктів із цифровими елементами. Аналіз даних понад 27 мільйонів сканувань у 750.000 XNUMX додатках лягли в основу останнього річного звіту Veracode.
Багато додатків з дірками в безпеці
🔎 Протягом багатьох років державний сектор мав менше вразливостей, ніж інші організації (Зображення: Veracode).
Дослідники виявили, що близько 82 відсотків програм, розроблених організаціями державного сектору, мали принаймні одну вразливість у безпеці. Це порівняно з 74 відсотками для приватних компаній. Дані для дослідження були зібрані протягом останніх 12 місяців. Залежно від типу виявленої вразливості ймовірність того, що вразливість була вбудована в програми державного сектору за останні 12 місяців, була на 7-12 відсотків вищою.
Самі по собі цифри не відображають наслідків, які виникають, коли хакери використовують помилки та вразливості. Наприклад, у серпні минулого року атака на торгово-промислову палату Німеччини призвела до повного відключення ІТ-систем і цифрових послуг, телефонів і серверів електронної пошти. Основні служби знову були доступні незабаром після атаки, але знадобилося більше місяця, перш ніж повна функціональність була відновлена.
Серйозна вразливість у державному секторі
Коли мова заходить про вразливості «високої серйозності», державний сектор має перевагу. Протягом 12-місячного періоду дослідження відсоток програм із критичними вразливими місцями безпеки був нижчим у державному секторі (16,5%), ніж у приватних компаніях (19%). Уразливості вищого ступеня серйозності мають більший потенціал для впливу на всю систему, якщо їх використовувати.
Сучасне тестування додатків заохочує використання інструментів сканування безпеки, таких як статичне тестування безпеки додатків (SAST) і аналіз складу програмного забезпечення (SCA). Різні типи сканування можуть виявити різні типи вразливостей. SAST і SCA виявили нижчий відсоток дефектів у додатках державного сектора, ніж у додатках приватних підприємств.
Краще перестрахуватися, ніж потім шкодувати
Існує велика різниця між державним і приватним секторами, коли йдеться про швидкість, з якою сканування виявляє нові вразливості в застарілому програмному забезпеченні. Для додатків, які використовуються протягом 5 років, недоліки безпеки зростають у приватному секторі, тоді як вони зменшуються в державних організаціях. Ця тенденція свідчить про те, що організації державного сектору приділяють увагу безпеці своїх програм протягом кількох років, а не лише на самому початку життєвого циклу.
У «Звіті про стан безпеки програмного забезпечення в державному секторі за 2023 рік» рекомендовано чотири дії, які державні установи можуть вжити для покращення свого стану кібербезпеки:
- Наздогнати: накопичення відомих помилок потрібно виправити якомога швидше.
- Часте сканування: нерегулярне сканування ускладнює виправлення помилок і призводить до збільшення резервів.
- Автоматизація: завдяки автоматизації тестів через API краще уникати помилок і дефектів у програмах.
- Додавання DAST до стеку безпеки: Використовуйте динамічне сканування, щоб виявити вразливості, які пропускають інші типи сканування.
«Державний сектор пройшов довгий шлях у покращенні безпеки своїх програм. Проте ще багато роботи, щоб дозволити органам влади покращити свою кібербезпеку та захистити від нових загроз. Зосередивши свої зусилля на безпеці на першопричині більшості кіберзламів — прикладному рівні, — вони можуть значно покращити ситуацію. Регулярне сканування з використанням різних методів тестування та подальше усунення вразливостей прокладуть шлях до безпечнішого майбутнього для державного сектора», — сказав Джуліан Тоцек-Халхубер, керівник відділу архітекторів рішень EMEA та APAC у Veracode.
Більше на Veracode.com
Про Veracode
Veracode означає інтелектуальну безпеку програмного забезпечення. Платформа безпеки програмного забезпечення Veracode знаходить недоліки та вразливі місця на кожному етапі сучасного циклу розробки програмного забезпечення. Завдяки потужному ШІ, навченому на трильйонах рядків коду, клієнти Veracode виправляють помилки швидше та з високою точністю.