لا تستطيع معظم الشركات مواكبة تدفق الثغرات الأمنية التي تؤثر على برامجها وبنيتها التحتية: كل ستة أشهر تفشل الشركة المتوسطة في تصحيح 28٪ من الثغرات الأمنية في أجهزتها وبرامجها ، مما يؤدي إلى تراكم أكثر من 57000 مشكلة أمنية غير ثابتة ، وجدت دراسة جديدة.
مثل هذا “الدين” الأمني يترك الشركات عرضة للخطر ، وفقًا لدراسة معهد بونيمون ، التي أصدرتها شركة IBM اليوم. عانى أكثر من نصف المنظمات من خرق أمني في العام الماضي ، وألقى 42٪ من هؤلاء المشاركين باللائمة على هذا الاختراق على ثغرة أمنية معروفة ولكن غير مسبوقة. بالإضافة إلى ذلك ، فإن معظم الشركات – 57٪ – لم تحدد نقاط الضعف التي تشكل أعلى درجة من المخاطر ، وربع الشركات فقط تعطي الأولوية لمواطن الضعف بناءً على تأثير الأعمال.
تكمن المشكلة الأساسية في أنه بمجرد تحديد الثغرات الأمنية بواسطة الأنظمة الآلية ، فإن عملية تحديد الأولويات والتصحيح تكون في الغالب يدوية ، مما يؤدي إلى إبطاء استجابة المؤسسة ، كما يقول تشارلز هندرسون ، الشريك الإداري العالمي ورئيس فريق خدمات الأمن السيبراني في IBM ، X-Force Red.
يقول: “إنك تفكر في إدارة الثغرات الأمنية على أنها” العثور على خلل وإصلاحه “. “المشكلة هي أننا أصبحنا جيدًا حقًا في اكتشاف العيوب ، ولم نر … كصناعة نفس الاهتمام الذي نوليه لإصلاح الأشياء التي نجدها بالفعل.”
لا يزال الترقيع يمثل مشكلة كبيرة لمعظم الشركات. وجد الاستطلاع أن 21٪ فقط من المؤسسات تقوم بإصلاح نقاط الضعف في الوقت المناسب. أكثر من نصف الشركات لا يمكنها بسهولة تتبع مدى كفاءة إصلاح الثغرات ، ولديها موارد كافية لتصحيح حجم المشكلات ، ولا تملك طريقة مشتركة لعرض الأصول والتطبيقات عبر الشركة. بالإضافة إلى ذلك ، لا تملك معظم المنظمات القدرة على تحمل فترات التوقف اللازمة.
بشكل عام ، تواجه معظم الشركات تحديات كبيرة في تصحيح الثغرات الأمنية في البرامج ، وفقًا لمسح شمل 1848 متخصصًا في تكنولوجيا المعلومات وتكنولوجيا المعلومات أجراه معهد Ponemon لتقرير حالة إدارة الثغرات الأمنية في السحابة والمحلية.
“أعتقد أن الأمر يعود إلى حقيقة أن لدينا مشكلة تتعلق بتوقعات تحديد المستوى داخل المنظمات ، وفهم العمليات ، وانهيار الاتصال بين المسؤولين عن الحفاظ على الأشياء مصححة والاستجابة للحفاظ على تشغيل الأنظمة ،” يقول هندرسون. “ليست بالضرورة متوافقة من حيث الأهداف.”
حددت الشركة المتوسطة في الدراسة ما يقرب من 780.000 نقطة ضعف خلال فترة ستة أشهر ، وفشلت في التخفيف من أكثر من 57.000 ، أو 28٪ ، من المشكلات. تستخدم المؤسسات بشكل متزايد منهجيات التطوير السريع ، وعلامات ذلك موجودة في التقرير: حوالي ثلث الشركات تفحص التطبيقات والأنظمة يوميًا على الأقل بحثًا عن نقاط الضعف.
ومع ذلك ، مع وجود العديد من نقاط الضعف ، تحتاج الشركات إلى طريقة لتقليل مجموعة مشكلات الأمان إلى مستوى يمكن التحكم فيه. أكثر من ثلث الشركات (38٪) تعطي الأولوية للنتائج بناءً على درجة نظام نقاط الضعف المشترك (CVSS) ، والتي أثبتت الأبحاث السابقة أنها طريقة غير موثوقة لتحديد الأولويات. ووجد التقرير أن عددًا أقل قليلاً ، 37٪ ، من الشركات تعطي الأولوية بناءً على نقاط الضعف التي تم تسليحها من قبل المهاجمين. تحدد ربع المؤسسات الأولويات بناءً على الأصول الأكثر أهمية للأعمال والتي تؤثر على تلك الموارد الحيوية.
يقول هندرسون: “تحديد الأولويات هو نقطة الضعف”. “نعتقد أن مزيجًا من إثراء الأصول مع نموذج يركز على قابلية الاستغلال ، والقواسم المشتركة ، وإمكانية تسويق نقاط الضعف أمر أساسي.”
تتضمن القابلية للتسويق احتمال أن ينتهي الأمر برمجية استغلال في أداة قرصنة آلية أو مجموعة أدوات استغلال ، كما يوضح.
بالإضافة إلى تحديد الأولويات ، وجدت الدراسة أن الشركات كانت تفتقد بعض مكونات البنية التحتية الأساسية في جهودها الأمنية.
على سبيل المثال ، يعد الفشل في تقييم الحاويات واختبار البرامج المغلفة بحثًا عن نقاط الضعف الأمنية ، تحديًا آخر يواجه الشركات. لم تقم معظم الشركات – 57٪ – بتقييم تصميم الحاويات لمعرفة ما إذا تم إنشاؤها بشكل آمن ، ولم يقم عدد مماثل بفحص الحاويات بحثًا عن مشكلات أمنية.
يقول هندرسون إنه بينما تواصل الشركات الانتقال إلى العمليات التي تنتج برمجيات وبنية تحتية أكثر أمانًا ، فإن الامتثال – وليس الأمان – لا يزال يمثل قوة دافعة للعديد من الشركات.
“المنظمات تركز على تلبية متطلبات الامتثال مع إدارة نقاط الضعف بدلا من القضاء على نقاط الضعف في الواقع ،” كما يقول. “يركز الناس بشدة على ما تقوله مراجعات أدائهم أو ما تقوله تقارير الامتثال الخاصة بهم ، ولكن لتلبية هذه العلامات ، فإنهم يضحون بالأمن.”
صحفي تقني مخضرم لأكثر من 20 عامًا. مهندس بحث سابق. كتب لأكثر من عشرين منشورًا ، بما في ذلك CNET News.com و Dark Reading و MIT’s Technology Review و Popular Science و Wired News. خمس جوائز للصحافة ، بما في ذلك أفضل موعد نهائي … عرض السيرة الذاتية الكاملة
اقتراحات للقراءة:
المزيد من الأفكار
