انجام بازی سرزنش اغلب اولین کاری است که هنگام رخ دادن یک نقض امنیتی انجام می شود. از بیرون، این رهبران کسب و کار هستند که بیشترین توجه عمومی را در مورد حوادث امنیت سایبری به خود جلب می کنند، در حالی که مطبوعات و مشتریان متعجب هستند که چگونه اجازه داده اند این اتفاق بیفتد. از آنجا، رهبران کسب و کار توجه خود را در داخل به تیم های فناوری اطلاعات و امنیت خود معطوف می کنند و سوالات مشابهی را می پرسند. هنگامی که یک رخنه رخ می دهد، در نهایت به دلیل آسیب پذیری های امنیتی موجود است که باید زودتر شناسایی و رفع می شد. بنابراین طبیعی است که تقصیر متوجه تیم هایی باشد که مسئولیت اصلی آنها یافتن این آسیب پذیری هاست.
اما در سالهای اخیر، این بحث شروع به تکامل کرده است، و برخی شروع به زیر سوال بردن سطح مسئولیت شرکتهای نرمافزاری در هنگام سوء استفاده از آسیبپذیری در محصولشان کردهاند. این ایده که مسئولیت بیشتری بر عهده فروشندگان نرم افزار برای اولویت دادن به امنیت است، مدتی است که مطرح شده است، به طوری که مجلس اعیان حتی در سال 2007 توصیه می کند که فروشندگان نرم افزار را به حساب بیاورند. اما با نقض های برجسته ای که اکنون به نظر می رسد هر هفته اتفاق می افتد . مانند اکسپلویت های Log4j یا حملات CitrixBleed، سوالاتی پیش می آید. اغلب ادعا می شود که تأکید بر مسئولیت خطاهای کاربر فردی و تصمیمات شرکت برای نقض، فرهنگ آسیب پذیری های امنیتی پایدار را فعال کرده است و به بدهی های امنیتی اجازه می دهد (که به هر گونه آسیب پذیری اصلاح نشده برای بیش از یک سال اشاره دارد) فروکش کند.
کارهای زیادی برای بهبود وضعیت امنیت نرم افزار باید انجام شود، اما بحث سرزنش نیست. در عوض، این فرصتی برای فروشندگان است تا با چالش روبرو شوند، نشان دهند که با آسیبپذیریهای امنیتی مواجه هستند و به نفع مشتریان خود عمل کنند. اما از کجا شروع کنیم؟ پاسخ در کاهش فعال بدهی های امنیتی نهفته است.
حرکت مثبت را حفظ کنید
وقتی به پیشرفت توسعهدهندگان نرمافزار در رفع آسیبپذیریها نگاه میکنیم، میبینیم که آنها قطعاً در حال مقابله با این چالش هستند. گزارش اخیر وضعیت امنیت نرمافزار ما نشانههای مثبتی را نشان میدهد، با شیوع آسیبپذیریهای شدید گزارششده توسط کسبوکارها نسبت به سال 2016 به نصف کاهش یافته است. با این حال، مشکلات پایدار همچنان بسیاری از سازمانها را آزار میدهند. اولین نگرانی آنها این است که بیش از 70 درصد از سازمان ها هنوز با بدهی های امنیتی مواجه هستند – یک آمار نگران کننده با توجه به اینکه سازمانی تا چه حد در معرض نفوذهایی است که آسیب پذیری های آنها اصلاح نشده است.
نگاه دقیق تر به آمار نشان می دهد که این موضوع می تواند حتی نگران کننده تر از آن چیزی باشد که در نگاه اول به نظر می رسد. تقریباً نیمی (46%) از سازمانها دارای آسیبپذیریهای پایدار و با شدت بالا هستند که بدهیهای امنیتی حیاتی را تشکیل میدهند، در حالی که تنها 35 درصد از تیمها توانایی پایداری برای حذف تمام بدهیهای امنیتی حیاتی دارند. اگر فروشندگان نرم افزار در مورد مقابله با چالش و حل این مسائل امنیتی جدی هستند، باید استراتژی ای را ایجاد کنند که کاهش بدهی امنیتی سازمان ها را با استفاده از نرم افزار خود در اولویت قرار دهد.
چگونه تامین کنندگان می توانند ریسک را کاهش دهند
فروشندگان نرم افزار نقش اصلی را در چشم انداز امنیتی در حال تکامل ایفا می کنند، و با ادامه تکامل پیچیدگی تهدیدها، مسئولیت آنها برای کاهش خطر به طور فزاینده ای حیاتی می شود. مهمتر از همه، ارائه دهندگان اولویت بندی ریسک و مقیاس پذیری را در نظر می گیرند. فرآیندهای اولویتبندی ریسک خوب به فروشندگان نرمافزار اجازه میدهد تا به طور موثر بر رفع آسیبپذیریهای حیاتی و به حداقل رساندن احتمال نقض و تعهدات امنیتی مرتبط تمرکز کنند.
مقیاس پذیری نیز ضروری است: فروشندگان نرم افزار باید بتوانند با سطوح مختلف تقاضا و پیچیدگی ابتکارات امنیتی خود سازگار شوند و به طور موثر پاسخ دهند. به این ترتیب، آنها می توانند خود را در بهترین موقعیت برای واکنش سریع و انطباق با تهدیدات نوظهور قرار دهند، همچنین تخصیص منابع خود را بهینه کرده و تلاش خود را بر روی حیاتی ترین مناطق متمرکز کنند. همه اینها در کنار هم به فروشندگان کمک می کند تا خطر نقض در نرم افزار خود را کاهش دهند، بدهی های امنیتی سازمان را به حداقل برسانند، و توانایی آنها را برای محافظت از مشتریان و حفظ شهرت آنها با ایجاد اطمینان در اقدامات امنیتی آنها بهبود بخشند.
پیمایش در چشم انداز امنیتی به طور فزاینده ای دشوار است. با فراگیرتر و پیچیده تر شدن تهدیدات ناشی از فناوری های جدید، اولویت بندی امنیت نرم افزار اهمیت فزاینده ای دارد. بله، سازمانها باید خود را برای حفاظت از داراییهای دیجیتالی خود مسئول بدانند و کنترل داخلی برای رفع مؤثر آسیبپذیریها ضروری است. با این حال، همانطور که چشم انداز تکامل می یابد، رویکرد ما به مسئولیت پذیری نیز باید تغییر کند.
این تغییر مربوط به واگذاری مسئولیت نیست. این فرصتی برای ارائه دهندگان است تا تعهد خود را به امنیت نشان دهند و به اکوسیستم دیجیتال ایمن تر کمک کنند. از آنجایی که ما با پیچیدگی های امنیت سایبری روبرو هستیم و به دنبال کاهش بدهی های امنیتی در همه سطوح هستیم، همکاری، پاسخگویی و کاهش ریسک فعال برای آینده ای امن و انعطاف پذیر ضروری خواهد بود.
ما بهترین نرم افزار حفاظت نقطه پایانی را فهرست کرده ایم.
این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro تهیه شده است که در آن بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر مایل به مشارکت هستید، در اینجا اطلاعات بیشتری کسب کنید: https://www.techradar.com/news/submit-your-story-to-techradar-pro
