אוטומציה והדרכה הם המניעים העיקריים של אבטחת תוכנה עבור תעשיית השירותים הפיננסיים, על פי Veracode

72% מהאפליקציות לשירותים פיננסיים מכילים פגמי אבטחה; סריקות שהושקו API והדרכות אבטחה אינטראקטיביות מפחיתות את הסבירות לפגמים ב-22%.

Veracode, ספקית מובילה של פתרונות אבטחת תוכנה חכמים, פרסמה מחקר חדש שחושף את גורמי המפתח המשפיעים על הקדמה והצטברות של פגמים בתעשיית השירותים הפיננסיים. ביצועי האבטחה של יישומים פיננסיים בדרך כלל עדיפים על אלו של תעשיות אחרות, כאשר אוטומציה, הדרכות אבטחה ממוקדות וסריקת ממשק תכנות יישומים (API) עוזרים להפחית את אחוז היישומים המכילים פגמים משנה לשנה.

בהקשר המאופיין ברגולציות חשובות המשפיעות על מגזר השירותים הפיננסיים, לרבות כללי הגילוי של אבטחת סייבר של הרשות לניירות ערך בארה"ב וחוק החוסן התפעולי הדיגיטלי של האיחוד האירופי (DORA), המחקר של Veracode מספק המלצות להפחתת הסיכון לפגיעות תוכנה. בעוד שכמעט 72% מהאפליקציות לשירותים פיננסיים מכילים פגמי אבטחה, זהו המגזר עם האחוז הנמוך ביותר, שיפור לעומת השנה שעברה.

"בניתוח השנה, השירותים הפיננסיים ביצעו ביצועים טובים בכל הלוח", מסביר ג'וזפה טרובאטו, חוקר אבטחה ראשי ב-Veracode. "הגברת התחרות וציפיות הלקוחות, בשילוב עם תקנות מחמירות יותר ברחבי התעשייה, הפעילו לחץ על מפתחים וצוותי אבטחה למצוא ולתקן פגמים בקנה מידה. יתר על כן, הפיצוץ של AI ו- Machine Learning דחף את קצב פיתוח התוכנה לרמה חדשה, מה שהוביל להתרבות יתר של פגמים. התעשייה עשתה טוב כדי לשפר את הביצועים שלה, אבל יש עוד מה לעשות וארגונים פיננסיים ייהנו מאוטומציה גדולה יותר וטכניקות קידוד מאובטחות שיעזרו להם למנוע, לזהות ולהגיב לפגיעויות מהר מאי פעם".

סריקה באמצעות API והדרכה מפחיתים את האפשרות להחדרת פגמים

מחקר של Veracode מצא שארגוני שירותים פיננסיים רואים השפעות חיוביות יותר מסריקת API והדרכות אבטחה מהממוצע בתעשיות אחרות. סריקת API היא מדד לבגרות של תוכנית אבטחת תוכנה, וסביר להניח שלחברות המשלבות את השימוש ב-API יהיו אוטומציה ושליטה רבה יותר על צינור הפיתוח. למעשה, אלו הממנפים את סריקת ה-API מבצעים 11% טוב יותר מההסתברות הבסיסית של חברות לא פיננסיות בהחדרת נקודות תורפה לחודש. הוספת הדרכת אבטחה אינטראקטיבית מורידה עוד יותר תוצאה זו ושני הגורמים, ביחד, מפחיתים את ההסתברות להחדרת פגמים ב-19% לחודש.

ההשפעה של סריקת API והדרכות אבטחה על מספר הפגמים שהוצגו בולטת עוד יותר. לאחר השלמת 10 מודולי אימון אבטחה אינטראקטיביים, צוותי שירותים פיננסיים הציגו 26% פחות נקודות תורפה, מה שהציב את ביצועי התעשייה הרבה מעל הממוצע בתעשייה. כמו כן, השקת סריקת API השפיעה יותר על כמות הפגמים שהוכנסו ליישומי שירותים פיננסיים מאשר תעשיות אחרות.

ג'וזפה טרובאטו מוסיף: "הנתונים מצביעים על כך שארגוני שירותים פיננסיים מרוויחים באופן משמעותי מאוטומציה באמצעות שימוש בממשקי API. השגת אוטומציה היא שאיפה עבור רבים, אך אנו רואים כי ייזום סריקות באמצעות API מתאם עם סבירות נמוכה יותר להחדרת פגמים והפחתה במספרם, ואין זה מפתיע שגם לאימון יש מתאם ישיר."

תפקידם של AI ולמידת מכונה

דו"ח מצב אבטחת התוכנה ניתח גם העדפות שפה לפי ענף ענף ומצא כי ב-51 אחוז, Java היא כמעט סטנדרט דה פקטו בשירותים פיננסיים. Veracode Fix, כלי הגהה מבוסס תוכנהבינה מלאכותית, שהושק מוקדם יותר השנה, מנצל את למידת מכונה ליצור תיקונים עבור 74% מהתוצאות הסטטיות של Java. צמצום דרסטי שכזה בזמן ובמאמץ מאפשר לחברות לשפר את האבטחה ולהוריד עוד יותר את רמת הסיכון, ולשחרר את היכולת לחדשנות וליצירה. בנוסף, מכיוון שיישומי Java מורכבים ברובם (>95%) מקוד של צד שלישי, נתוני Veracode מדגימים את היתרונות של ניתוח הרכב תוכנה כדי לחזק את האבטחה והשלמות של הכללת קוד פתוח.

veracode

Veracode היא אבטחת תוכנה חכמה. פלטפורמת אבטחת התוכנה של Veracode מזהה בעקביות פגמים ופגיעות בכל שלב של מחזור החיים של פיתוח התוכנה המודרני. עם AI רב עוצמה מאומן על טריליוני שורות קוד, לקוחות Veracode מתקנים פגמים מהר יותר ומדויק יותר. מהימנים על ידי צוותי אבטחה, מפתחים ומנהיגים עסקיים באלפי הארגונים המובילים בעולם, Veracode נמצאת לפני העקומה וממשיכה להתחדשdefiלסיים את המשמעות של אבטחת תוכנה חכמה.

BlogInnovazione.it