Bir devlet kurumları, büyük miktarlarda “güvenlik borcu” ile faaliyet göstermektedir – bu, çözülmemiş güvenlik açıkları anlamına gelir – onları ve halkı hackerlara düşme riskiyle artan risk altına sokar. Veracode Raporu Çarşamba günü yayınlandı.
Raporda, devlet kurumlarının kabaca% 80’inin en az bir yıl boyunca eklenmemiş yazılım güvenlik açıkları var ve bunların yaklaşık% 55’inin onları daha da risk altına alan uzun süredir devam eden yazılım kusurları olduğunu buldu.
Veracode’un araştırması, devlet kurumlarına, 252 günlük birleşik kamu ve özel sektör ortalamasına kıyasla yazılım güvenlik açıklarının yarısını çözmenin ortalama 315 gün sürdüğünü göstermektedir.
Ancak Veracode’a göre, şirketler ve ajanslar, güvensiz yazılımları ele almak için gerekli yatırım ve prosedürlerin altında kalıyor.
Veracode baş güvenlik evanjelisti Chris Wysopal, “Kuruluşların daha fazla özellik ve işlevsellik oluşturmak için bulunduğu güvenlik sorunlarını çözmek için yeterli mühendislik kapasitesi içeren bir süreç yok” dedi. “Onların sabitleme işlemleri, yeni kod yazıldığında bulunan yeni kusurlara ayak uyduracak kadar etkili değil.
Birikmiş güvenlik borcu bir dizi sorundan kaynaklanmaktadır. Veracode’a göre, birçok devlet kurumunun eski çerçeveler üzerine inşa edilmiş eski uygulamaları kullanıyor. Bazı durumlarda, bu uygulamalar o kadar modası geçmiş, geliştiricileri artık onları desteklemiyor.
Axonius Federal Sistemler Başkan Yardımcısı Tom Kennedy, Siber Güvenlik Dalışına verdiği demeçte, “Eski Hükümet genellikle kapsamlı görünürlük ve entegrasyon yeteneklerinden yoksun, güvenlik açıklarının zamanında tanımlanmasını ve iyileştirilmesini engelliyor” dedi. “Bu eski sistemler sıklıkla modası geçmiş yazılıma, takılmamış güvenlik açıklarına ve güvensiz yapılandırmalara güveniyor – doğrudan genel güvenliği etkiliyor.”
Demokrasileri Savunma Vakfı’ndaki araştırmacılara göre, kuruluşların güvenlik tehditlerine dönüşmediklerinden emin olmak için en kritik güvenlik açıklarına öncelik vermeleri gerekmektedir.
“Hiçbir yazılım mükemmel değildir ve her kod tabanı yaratıldığı andan itibaren güvenlik borcu taşır,” Georgianna Shea, FDD’de Siber ve Teknoloji Yenilik Merkezi Baş Teknolojisi. “Bu nedenle kuruluşlar buna göre bazı eklenmemiş güvenlik açıkları ve bütçe beklemelidir – Today’ın güvenli kodu kontrolsüz bırakılırsa yarının riski olabilir.
Devlet kurumları genellikle ciddi bütçe kısıtlamaları altında ve sınırlı personel ile çalışırlar. Siber uzmanlar son aylarda güvenlik konusunda endişeleri artırdı Kapsamlı bütçe kesintilerinin sonuçları ve federal ajanslarda iş kayıpları.
Veracode raporu ayrıca üçüncü taraf ve açık kaynaklı yazılım riskleri ile ilgili endişeleri de gündeme getirmektedir. Bu programların genel güvenlik borcunun sadece% 10’unu, ancak devlet ağlarındaki kritik güvenlik borcunun% 70’ini oluşturduğunu tespit etmektedir.
Devlet bağlantılı bilgisayar korsanları, 2024’ün sonlarında Hazine Departmanını ihlal etti. Bulut tabanlı teknik destek Hazine’nin birden fazla müşterisine saldırı başlatmak için BeyondRrust satıcısı.