افزایش حملات برنامه های تحت وب و محدودیت بودجه برنامهنویسان
درحالی که حملات سایبری علیه برنامههای تحت وب روز به روز درحال افزایش است اما بودجه امنیتی برنامهنویسان هنوز با محدودیت ها مواجه است.
براساس گزارش شرکت نرمافزاری Checkmarx سه مطالعهای که اخیراً انجام شده نشاندهنده چالش پیشرو برنامهنویسان است در حالی که با حملات روزافزون مواجه هستند. در این گزارش بر نیاز بیشتر به منابع تاکید شده تا کدهای جاوا اسکریپت امنی در محصولات شرکتها و محصولات متنباز ارائه شوند.
همانطور که مطالعه مروری رخنههای سال ۲۰۱۶ نشان میدهد حملات علیه همه بخشهای تجاری بهطور قابل توجهی افزایش یافته است و در این میان خدمات مالی با افزایش حملات ۵۱ درصدی روبرو بودهاند. همچنین در این گزارش آمدهاست CVE ها (آسیبپذیری و رخنههای رایج) آنطور که باید به سرعت آدرسدهی نمیشوند به طوری که ۱۰ آسیبپذیری مهم، ۸۵ درصد بهرهبرداریهای موفق را تشکیل میدهند.
بسیاری از برنامهنویسان به سوی زبانهای برنامهنویسی مبتنی بر جاوا و اسکریپتها متمایل شدهاند. بر اساس گزارش سالیانه StackOverflow ،۸۵ درصد برنامهنویسانی که بر روی برنامههای full stack کارمیکنند از جاوا اسکریپت با جاوا برای برنامههایشان استفاده میکنند.
طبق گزارش امنیتی موسسه SANS، آگاهی برنامهنویسان با توجه به کنترلهای امنیتی رو به افزایش است. در این گزارش آمده است ابزارها و روشها به عنوان دو عامل مهم در حفط امنیت برنامهها باید مورد توجه قرار گیرند. چالش سومی که ۳۷ درصد از شرکتکنندگان آن را اعلام کردهاند کمبود منابع مالی بوده است. ۳۰ درصد از برنامهنویسان گفتهاند که به طور مرتب برنامهها را در حین توسعه آزمایش میکنند اما ۵۳ درصد هنوز میگویند که زمانی که برنامهها به محصول تبدیل شد اقدام به آزمون آنها میکنند.
۵۷ درصد شرکتکنندگان در این پژوهش اظهار کردهاند بین ۱ تا ۲۵ آسیبپذیری را هر ماه مییابند. ۲۴ درصد نیز معتقدند بیش از نیمی از آسیبپذیریهای حیاتی مرتبط با اشکالات کد است.
متخصص امنیتی و مدیر بخش بازاریابی محصول Checkmarx، Amit Ashbel، میگوید: «توسعهدهندگان به سمت جاوا اسکریپت متمایل شدهاند، بدان معنا که از آنها خواسته میشود برنامههایی بنویسند که چرخه توسعه سریعتری داشته باشند. با این وجود، تعداد حملات علیه این برنامهها به طور فزایندهای افزایش یافته حال آنکه بودجه امنیتی ثابت مانده است. این جایگاه درست نیست و شرکتهای مربوطه اگر میخواهند جلوی بدتر شدن مشکلات روزافزون امنیتی را بگیرند میبایست در تخصیص بودجههای امنیتیشان تجدید نظر کنند. سرمایهگذاری در آموزش برنامهنویسان برای نوشتن برنامههای امن و همچنین تولید ابزارهای آزمون جعبه سفید به مراتب بازگشت سرمایه بیشتری نسبت به هزینه وصلهی رخنهها و آسیبپذیریها دارند، هرینههایی که تنها مالی نبوده بلکه به شهرت و اعتبار محصولات و شرکت مربوطه نیز تاثیر منفی زیادی وارد میکنند.»
#خبر #تحلیل
منبع
https://news.asis.io
http://www.scmagazine.com/web-app-attacks-are-on-the-rise-but-money-is-tight-for-developers/article/497464/
درحالی که حملات سایبری علیه برنامههای تحت وب روز به روز درحال افزایش است اما بودجه امنیتی برنامهنویسان هنوز با محدودیت ها مواجه است.
براساس گزارش شرکت نرمافزاری Checkmarx سه مطالعهای که اخیراً انجام شده نشاندهنده چالش پیشرو برنامهنویسان است در حالی که با حملات روزافزون مواجه هستند. در این گزارش بر نیاز بیشتر به منابع تاکید شده تا کدهای جاوا اسکریپت امنی در محصولات شرکتها و محصولات متنباز ارائه شوند.
همانطور که مطالعه مروری رخنههای سال ۲۰۱۶ نشان میدهد حملات علیه همه بخشهای تجاری بهطور قابل توجهی افزایش یافته است و در این میان خدمات مالی با افزایش حملات ۵۱ درصدی روبرو بودهاند. همچنین در این گزارش آمدهاست CVE ها (آسیبپذیری و رخنههای رایج) آنطور که باید به سرعت آدرسدهی نمیشوند به طوری که ۱۰ آسیبپذیری مهم، ۸۵ درصد بهرهبرداریهای موفق را تشکیل میدهند.
بسیاری از برنامهنویسان به سوی زبانهای برنامهنویسی مبتنی بر جاوا و اسکریپتها متمایل شدهاند. بر اساس گزارش سالیانه StackOverflow ،۸۵ درصد برنامهنویسانی که بر روی برنامههای full stack کارمیکنند از جاوا اسکریپت با جاوا برای برنامههایشان استفاده میکنند.
طبق گزارش امنیتی موسسه SANS، آگاهی برنامهنویسان با توجه به کنترلهای امنیتی رو به افزایش است. در این گزارش آمده است ابزارها و روشها به عنوان دو عامل مهم در حفط امنیت برنامهها باید مورد توجه قرار گیرند. چالش سومی که ۳۷ درصد از شرکتکنندگان آن را اعلام کردهاند کمبود منابع مالی بوده است. ۳۰ درصد از برنامهنویسان گفتهاند که به طور مرتب برنامهها را در حین توسعه آزمایش میکنند اما ۵۳ درصد هنوز میگویند که زمانی که برنامهها به محصول تبدیل شد اقدام به آزمون آنها میکنند.
۵۷ درصد شرکتکنندگان در این پژوهش اظهار کردهاند بین ۱ تا ۲۵ آسیبپذیری را هر ماه مییابند. ۲۴ درصد نیز معتقدند بیش از نیمی از آسیبپذیریهای حیاتی مرتبط با اشکالات کد است.
متخصص امنیتی و مدیر بخش بازاریابی محصول Checkmarx، Amit Ashbel، میگوید: «توسعهدهندگان به سمت جاوا اسکریپت متمایل شدهاند، بدان معنا که از آنها خواسته میشود برنامههایی بنویسند که چرخه توسعه سریعتری داشته باشند. با این وجود، تعداد حملات علیه این برنامهها به طور فزایندهای افزایش یافته حال آنکه بودجه امنیتی ثابت مانده است. این جایگاه درست نیست و شرکتهای مربوطه اگر میخواهند جلوی بدتر شدن مشکلات روزافزون امنیتی را بگیرند میبایست در تخصیص بودجههای امنیتیشان تجدید نظر کنند. سرمایهگذاری در آموزش برنامهنویسان برای نوشتن برنامههای امن و همچنین تولید ابزارهای آزمون جعبه سفید به مراتب بازگشت سرمایه بیشتری نسبت به هزینه وصلهی رخنهها و آسیبپذیریها دارند، هرینههایی که تنها مالی نبوده بلکه به شهرت و اعتبار محصولات و شرکت مربوطه نیز تاثیر منفی زیادی وارد میکنند.»
#خبر #تحلیل
منبع
https://news.asis.io
http://www.scmagazine.com/web-app-attacks-are-on-the-rise-but-money-is-tight-for-developers/article/497464/
Forwarded from دانشگاه صنعتی شریف
http://l1l.ir/2wxd
#خبر
◀️ برگزاری هشتمین دورهی «رقابتهای دفاع و نفوذ در فضای مجازی» در بهمن ماه
◀️ دانشگاه صنعتی شریف هشتمین دورهی «رقابتهای دفاع و نفوذ در فضای مجازی» را با هدف فرهنگسازی و ارتقای آگاهی، دانش و مهارت در زمینهی امنیت فضای تبادل اطلاعات و همچنین ارزیابی توانمندیها و قابلیتهای تخصصی افراد متخصص در این زمینه، برگزار مینماید.
🔸 مشاهده خبر:👇
ℹ️ http://l1l.ir/2wxe
🆔 @sharif_prm
🔸وب سایت رسمی دانشگاه صنعتی شریف:
ℹ️ www.sharif.ir
#خبر
◀️ برگزاری هشتمین دورهی «رقابتهای دفاع و نفوذ در فضای مجازی» در بهمن ماه
◀️ دانشگاه صنعتی شریف هشتمین دورهی «رقابتهای دفاع و نفوذ در فضای مجازی» را با هدف فرهنگسازی و ارتقای آگاهی، دانش و مهارت در زمینهی امنیت فضای تبادل اطلاعات و همچنین ارزیابی توانمندیها و قابلیتهای تخصصی افراد متخصص در این زمینه، برگزار مینماید.
🔸 مشاهده خبر:👇
ℹ️ http://l1l.ir/2wxe
🆔 @sharif_prm
🔸وب سایت رسمی دانشگاه صنعتی شریف:
ℹ️ www.sharif.ir