נט2יו - איכות ברשת משנת 2004
  עמוד הבית >> מרכז הרססים >> מחקר: צוותי האבטחה מבזבזים זמן בתיקון חולשות לא רלוונטיות

מרכז הרססים

  ראשי  |  הזנה פשוטה  

link אנשים ומחשבים אנשים ומחשבים (28-3-2024 23:47:09)

feed מחקר: צוותי האבטחה מבזבזים זמן בתיקון חולשות לא רלוונטיות (27-3-2024 9:37:53)

פעמים רבות, צוותי האבטחה בארגונים משקיעים זמן רב ומיותר על תיקונן של חולשות שאינן רלוונטיות. בנוסף, רוב דירוגי חומרת החולשות בשרשרת האספקה של התוכנה הם מטעים – כך לפי מחקר חדש של ג'ייפרוג .

לפי מפתחת פתרונות ה-DevOps הישראלית, 74% מהחולשות הנפוצות, שדווחו עם דירוגי CVSS (חומרת החולשה) "גבוהים" ו-"קריטיים" ב-100 אפליקציות הקהילה המובילות ב- Docker Hub – לא היו באמת ניתנות לניצול.

הדו"ח מציין כי "הדירוגים המסורתיים מתייחסים רק לחומרת הפגיעה האפשרית ולא לסיכוי שהיא תנוצל בפועל. לכן, נדרש ניתוח של ההקשר ואופן השימוש בקוד הפגיע כדי לבצע הערכת סיכונים אפקטיבית". לאחר ניתוח שכזה, צוות מחקר האבטחה של ג'ייפרוג הוריד את דירוג החומרה של 85% מהחולשות הקריטיות ו-73% מהחולשות הגבוהות.

החוקרים כתבו כי "מתקפות מניעת השירות (DoS) שולטות: מתוך 212 החולשות הבולטות שנותחו, 44% היו כאלה שאפשרו ביצוע מתקפת מניעת שירות, לעומת 17% חולשות שאפשרו הרצת קוד מרחוק (RCE). זו בשורה משמעותית לארגוני אבטחה, כיוון שלחולשות שמאפשרות הרצת קוד מרחוק יש השפעה מזיקה בהרבה: ניצולן נותן לתוקף שליטה מלאה מרחוק במערכות הפגיעות".

הוכחה: אבטחה פוגעת בפרודוקטיביות

במחקר מוכח שאבטחה פוגעת בפרודוקטיביות: 40% מהארגונים ציינו שהזמן הממוצע לקבלת אישור שימוש בחבילת תוכנה או בספרייה חדשה הוא יותר משבוע – מה שמאריך את זמן היציאה לשוק של אפליקציות חדשות ועדכוני תוכנה.

עוד עלה כי "יש חוסר אחידות בבדיקות אבטחה, ונדרשת אבטחה לאורך תהליך פיתוח התוכנה (SDLC)". לפי החוקרים, "אין בתעשייה הסכמה גורפת לגבי התזמון האידיאלי לביצוע בדיקות אבטחה לאורך תהליך זה. הממצאים מצביעים על חשיבותה של גישת Shift Left & Right – יישום של בדיקות אבטחה בשלבים מוקדמים ומאוחרים כאחד".

יותר מדי פתרונות אבטחה

היבט נוסף שעולה מהדו"ח הוא ריבוי כלי אבטחה: כמעט מחצית מאנשי ה-IT, כ-47% מהם, משתמשים ב-4-9 פתרונות אבטחת יישומים שונים. כשליש מהם משתמשים ב-10 פתרונות אבטחה ויותר.

גם תחום ה-AI נבחן במחקר של ג'ייפרוג, והחוקרים מצאו ש-"יש שימוש לא מאוזן בכלי בינה מלאכותית ולימוד מכונה עבור אבטחה: 90% מהארגונים ציינו כי הם משתמשים בכלי AI ו-ML כדי לסייע בסריקות אבטחה ותיקון חולשות, אך רק כשליש מהם, 32%, דיווחו שהארגון משתמש בהם כדי לכתוב קוד. הנתון מעיד על כך שמרבית הארגונים עדיין חוששים מחולשות פוטנציאליות שעלולות לחדור לתוכנה ארגונית בשל שימוש שכזה".

"בעוד שמספר החולשות גדל משנה לשנה, הן לא בהכרח הופכות להיות חמורות יותר", אמר שחר מנשה , מנהל בכיר בגוף מחקר האבטחה של ג'ייפרוג. "צוותי IT משקיעים בכלים חדשים כדי לחזק את האבטחה שלהם, אבל עליהם לדעת איפה למקם את הכלים, כיצד לנצל את זמן הצוות ולייעל תהליכים. כל אלה הם מרכיבים קריטיים לשמירה על אבטחת שרשרת אספקת התוכנה שלהם".

חולשות שהוגדרו "חמורות", אבל לא היו באמת כאלה? זה חמור...

הפוסט מחקר: צוותי האבטחה מבזבזים זמן בתיקון חולשות לא רלוונטיות הופיע ראשון ב אנשים ומחשבים - פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות


execution time : 0.482 sec
×

הצהרת נגישות

אתר זה מונגש לאנשים עם מוגבלויות על פי Web Content Accessibility Guidelines 2 ברמה AA.
האתר נמצא תמידית בתהליכי הנגשה: אנו עושים כל שביכולתנו שהאתר יהיה נגיש לאנשים עם מוגבלות.
אם בכל זאת נתקלתם בבעיית נגישות אנא שלחו לנו הערתכם במייל (אל תשכחו בבקשה לציין את כתובת האתר).

אודות ההנגשה באתר:

  • אמצעי הניווט וההתמצאות באתר פשוטים ונוחים לשימוש.
  • תכני האתר כתובים בשפה פשוטה וברורה ומאורגנים היטב באמצעות כותרות ורשימות.
  • מבנה קבוע ואחיד לנושאים, תתי הנושאים והדפים באתר.
  • האתר מותאם לצפייה בסוגי הדפדפנים השונים (כמו כרום, פיירפוקס ואופרה)
  • האתר מותאם לסביבות עבודה ברזולוציות שונות.
  • לאובייקטים הגרפיים באתר יש חלופה טקסטואלית (alt).
  • האתר מאפשר שינוי גודל הגופן על ידי שימוש במקש CTRL וגלגלת העכבר וכן בלחיצה על הכפתור המתאים בערכת ההנגשה הנגללת בצד האתר ונפתחת בלחיצה על הסמלון של כסא הגלגלים.
  • הקישורים באתר ברורים ומכילים הסבר להיכן הם מקשרים.
    לחיצה על הכפתור המתאים בערכת ההנגשה שבצד האתר, מסמנת את כל קישורי האתר בקו תחתון.
  • אנימציות ותכנים מהבהבים: הכפתור המתאים לכך בערכת ההנגשה שבצד האתר , מאפשר להסתיר בלחיצה אחת את כל התכנים באתר הכוללים היבהובים או תכנים המכילים תנועה מהירה (אנימציות, טקסט נע).
  • למתקשי ראיה: מתקשי הראיה שבנינו יכולים להעזר בשני כפתורים הנמצאים בערכת ההנגשה בצדו הימני של האתר, האחד מסב את האתר כולו לגוונים של שחור ולבן, השני מעביר את האתר כולו למצב של ניגודיות גבוהה.