Security Journey’e göre, sıkı düzenlemelere ve “tasarım gereği güvenlik” çağrılarına rağmen kuruluşlar, ekipleri kodu güvenli hale getirecek bilgiyle donatmakta hala başarısız oluyor.
Aslında, katılımcıların yalnızca %20’si bir uygulama yayınlanmadan önce bir güvenlik açığını tespit etme yeteneklerinden emindi; %60’tan fazlası güvenlik açıklarını etkili bir şekilde düzeltmek için çabalıyor ve %50’si, uygulamalar yayınlandıktan sonra uygulamalarının güvenliğini test etmekte başarısız oluyor.
Saldırganlar bu güvenlik açıklarının açığa çıkmasını hazır ve bekliyor, Qualys tarafından yapılan bir araştırmaya göre güvenlik açıklarının %25’i yayınlandığı gün, %75’i ise 19 gün (yaklaşık üç hafta) içinde istismar edildi. ).
Güvenlik açığı yama krizi
Bu, bir uygulamanın daha sonraki geliştirme yaşam döngüsünde, özellikle de piyasaya sürüldükten sonra güvenliğinin sağlanmasının, bir kuruluşun güvenlik duruşu açısından önemli bir risk olduğunu gösterir. Kuruluşların %47’si, üretimdeki zayıf noktaların giderilmesindeki bu zorlukları nitelikli personel eksikliğinden sorumlu tutuyor.
Anket, güvenlik eğitimi programları söz konusu olduğunda reaktif bir yaklaşımı ortaya koyuyor; katılımcıların %68’i yalnızca uyumluluk ihtiyacı nedeniyle veya bir istismara yanıt olarak güvenli kodlama eğitimi alıyor. Bu istatistikler, kuruluşların, geliştirme aşamasında uzun vadeli insan müdahalesine yatırım yapmak yerine, doğru tespitten etkili düzeltmeye kadar güvenlik açıklarını yakalamak için araçlara büyük ölçüde güvendiklerini ve güvenlik iş gücüne aşırı yük yüklediklerini gösteriyor.
Araştırmadan önceki 12 ay içinde katılımcıların %54’ü yamalanmamış bir güvenlik açığı nedeniyle bir güvenlik olayı yaşadı ve %51’i 8’den fazla olay yaşadı.
Kuruluşların yalnızca %11’i güvenlik açıklarını zamanında etkili bir şekilde düzelttiklerine inanıyor ve %55’i güvenlik açığı yamalarının uygulanmasındaki gecikmelerden geliştirme, güvenlik ve uyumluluk ekipleri arasındaki uyumsuzluğu sorumlu tutuyor.
Security Journey CEO’su Joe Ferrara, “Düzenleyicileri muhtemelen daha katı olmaya itecek mükemmel bir uygulama güvenliği riski fırtınası görüyoruz” dedi.
“Kuruluşlar çıktılarını güvence altına almak için AppSec araçlarına ve yapay zekaya yönelirken, bu araçlar yalnızca bir güvenlik ağı görevi görüyor ve güvenli olmayan kodu en başından önlemek ve düzeltmek için bilgili insan müdahalesine ihtiyaç var. Ferrara, kuruluşların uzmanlıkla hazırlanmış, rollere göre uyarlanmış ve bilginin kalıcılığını sağlamak için sürekli olarak güçlendirilen eğitim programlarına öncelik vermesi gerektiğini söyledi.
Güvenli kodlama eğitiminin kritik rolü
Güvenli kodlama eğitimi, uygulama geliştirmede daha sürdürülebilir güvenlik uygulamalarının kilidini açmanın anahtarıdır. Ancak yine de güvenli kodlama eğitim programlarının yaygınlığı, sıklığı ve kalitesi sektörün ihtiyaç duyduğu seviyenin çok altında.
%48’i yalnızca yıllık, iki yılda bir veya bir olay meydana geldiğinde eğitim rapor ediyor ve güvenli kodlama eğitimi veren kuruluşların %50’sinden fazlası kullanıcıların ihtiyaçlarına göre özelleştirilmemiş programlara sahip.
Eğitim verenlerin %50’sinin bilgi kazanımını ölçecek bir değerlendirme biçimi yok ve kuruluşların yalnızca %36’sı geliştiricilerine güvenli kod yazmayı öğretiyor. Kuruluşların %21’i geliştiricilere güvenlik açığının giderilmesi konusunda eğitim veriyor ve %43’ü kuruluşlarının üçüncü bir tarafla uzman bir şekilde eğitilmesine para yatırıyor.
Bu istatistikler, kuruluşların geliştirme ekiplerine yönelik güvenlik eğitimlerine yaklaşımı konusunda endişe verici düzeyde bir kayıtsızlığı ortaya koyuyor. Uyumluluk kutusunu işaretlemek kolaydır ancak güvenli bir kültür oluşturmaz veya ekipleri daha geniş bir tehdit yelpazesiyle başa çıkma konusunda eğitmez.
“Mevcut uygulama güvenliği ortamı son derece kaygı verici ve bu araştırmadan da anlaşılacağı üzere güvenli kodlama eğitimi çoğu kuruluşta henüz güncel değil. Pek çok kuruluşun eğitim verdiğini görmek olumlu olsa da, bunun güvenli kod geliştirmek yerine düzenlemelere uyma amacıyla yapıldığı ve odak noktasının hâlâ güvenli bir kültür aşılamak yerine pazara sunma hızı üzerinde kalması endişe verici. uygulama geliştirme,” dedi Ponemon Enstitüsü Başkanı ve Kurucusu Larry Ponemon.