Analiza — September 22, 2018 at 8:15 am

Patru pași de bază pentru administrarea vulnerabilităților software

by

A golden security key. 3D rendering with raytraced textures and HDRI lighting.

Cheia pentru a rezolva vulnerabilitățile critice ale software-ului stă într-o viziune cuprinzătoare a securității cibernetice și utilizarea unor bune practici în fiecare aspect al unei organizații, de la educația forței de muncă și formarea profesională până la ciclul de dezvoltare al software-ului. Vulnerabilitățile software pot fi găsite și rezolvate numai când expertiza în domeniul securității informatice nu mai este sigilată în silozuri, ci este răspândită în rândul tuturor utilizatorilor și dezvoltatorilor de software. Mai întâi, este vital să adunăm cunoștințe și informații din cât mai multe surse posibil, indiferent dacă implică analiza externă a amenințărilor din alte sectoare conexe sau testele de atac cu utilizatori externi. Există câțiva pași cheie care ajută la identificarea și remedierea vulnerabilităților software.

Primul pas în prevenirea vulnerabilităților software cu grad ridicat de risc este integrarea securității cibernetice în procesul de dezvoltare a software-ului, pentru a îmbunătăți calitatea codului produs. Instruirea în domeniul securității informatice ar trebui să fie obligatorie pentru cei care lucrează în fiecare etapă a ciclului de dezvoltare al software-ului, de la inginerii software și designerii web până la utilizatorii responsabili pentru menținerea acestuia.

Cele mai bune practici de securitate trebuie puse în aplicare în dezvoltarea de software prin integrarea securității, a dezvoltării de software și a operațiunilor astfel încât să existe o continuitate de bune practici pe întreaga durată a ciclului de viață al software-ului. Acest lucru asigură, de asemenea, că vulnerabilitățile software pot fi identificate și remediate rapid de către o gamă largă de profesioniști, deoarece încurajează fertilizarea încrucișată a cunoștințelor în materie de securitate cibernetică în rândul multor angajați și departamente.

Testerele de atac cibernetic ar trebui utilizate pentru a accelera procesul de filtrare prin cantități mari de cod pentru vulnerabilități. Algoritmii de machine learning pot fi învățați rapid pentru a identifica și remedia vulnerabilitățile și chiar pentru a diferenția vulnerabilitățile cu grad ridicat de risc și cele cu risc scăzut. Acest lucru generează un cerc virtuos de bune practici în domeniul securității cibernetice în cadrul organizației, deoarece vulnerabilitățile găsite și fixate într-un departament pot învăța mașinile să abordeze în mod autonom vulnerabilități similare și să impună standarde în restul organizației.

Organizațiile ar trebui să aducă perspective externe pentru a ajuta la găsirea și remedierea vulnerabilităților ascunse și la analizarea profilului lor de risc. Aceștia pot oferi stimulente pentru testarea vulnerabilității din afara organizației. De asemenea, este important să se folosească informații de la alte companii și sectoare relevante din domeniul amenințărilor externe pentru a se ține pasul cu noile amenințări și vulnerabilități, dar și pentru a afla cum sunt exploatate înafara rețelelor. Acest lucru ajută o organizație să evalueze probabilitatea ca o vulnerabilitate să fie exploatată și nivelul de risc pe care îl reprezintă.