يوضح تقرير حالة أمن البرمجيات أن نصف المؤسسات المالية تواجه ثغرات أمنية شديدة الخطورة في تطبيقاتها
بيرلنجتون، ماساتشوستس
أصدرت Veracode. إحدى الشركات الرائدة عالميًا في مجال إدارة مخاطر التطبيقات، اليوم دراسة بحثية جديدة تسلط الضوء على حالة ديون أمن البرمجيات داخل قطاع الخدمات المالية. الديون الأمنية التي تم تعريفها في هذا التقرير على أنها ثغرات لم يتم معالجتها لمدة تزيد عن عام، لا زالت قائمة في 76 بالمائة من المؤسسات في قطاع الخدمات المالية، حيث تحمل 50% من المؤسسات ديون أمنية حرجة.
ومن خلال تقدير متوسط تكلفة خرق البيانات في القطاع المالي بنحو 6.08 مليون دولار1، يخرج البحث إلى النور في وقتٍ حرج لواحدة من أكثر الصناعات استهدافًا من قِبل الجهات السيئة المتطورة في مجال التهديدات. وبحسب النتائج المستخلصة من تقرير صادر عن وزارة الخزانة الأمريكية في مارس 2024، تستخدم الجهات السيئة المتخصَّصة في التهديدات أدوات تعتمد على الذكاء الاصطناعي للعثور على الثغرات الأمنية في البرامج واستغلالها بمعدل غير مسبوق. وفي الوقت نفسه، يتطلب احتدام شدة المنافسة في الصناعة وتوقعات العملاء فيما يتعلق بمدى الراحة والملاءمة من المؤسسات تسريع وتيرة الابتكار.
“ينطوي ارتفاع معدل الديون الأمنية في القطاع المالي على مخاطر كبيرة على المؤسسات وعملائها إذا لم يتم التعامل معها بسرعة. “إزاء استمرار الهجمات الإلكترونية التي تعتمد على الذكاء الاصطناعي في النمو من حيث القوة والأعداد، وقيام المؤسسات ببذل جهودًا كبيرة لمواكبة اللوائح المتطورة بسبب الديون الأمنية الحالية، يتيح المشهد الحالي للجهات السيئة المتخصَّصة في التهديدات باستغلال الثغرات الأمنية بمعدل غير مسبوق ومثير للقلق”، حسبما صرَّح Chris Wysopal، كبير المبشرين بالأمن في Veracode. “تبرز أحدث أبحاثنا حول حالة البرمجيات مدى الحاجة الماسة للمؤسسات المالية لمعالجة الثغرات الأمنية في التعليمات البرمجية الخاصة بالطرف الأول والطرف الثالث الآن. تتعرَّض المؤسسات التي لا تحرص على علاج الثغرات لمدة تزيد عن عام لتهديدات طويلة الأمد وخطيرة.”
تأخير إصلاح الثغرات يهدد أمن القطاع المالي
توصَّل الباحثون في شركة Veracode إلى أن 40% من جميع التطبيقات في القطاع المالي تعاني من ديون أمنية، وهو يُعدُّ أفضل قليلاً من المتوسط عبر الصناعة البالغ 42%. وعلاوة على ذلك، فإن 5.5% فقط من تطبيقات القطاع المالي لا تنطوي على ثغرات، مقارنة بـ 5.9% في القطاعات الأخرى. وبالرغم من أن عدد التطبيقات في القطاع المالي التي تعاني من الديون الأمنية أقل إلى حد ما، إلا أنها تتراكم عليها كميات أكبر من هذه الديون.
ويبرز التقرير أيضًا مدى الحاجة إلى قيام مؤسسات الخدمات المالية بمعالجة الديون الأمنية في كل من التعليمات البرمجية الخاصة بالطرف الأول والطرف الثالث. تؤثر أربعة وثمانون بالمائة من جميع الديون الأمنية على التعليمات البرمجية الخاصة بالطرف الأول، ولكن تتدفق غالبية (78.6 بالمائة) من الديون الأمنية الحرجة من تبعيات الطرف الثالث. ويعزَّز هذا الأمر أهمية جهود وكالة الأمن الإلكتروني وأمن البنية التحتية للمساعدة في تأمين النظام مفتوح المصدر من خلال خريطة طريق أمان البرمجيات مفتوحة المصدر والتعهد بالتأمين من خلال التصميم.
يستكشف التحليل بشكلٍ أكبر الجداول الزمنية للإصلاح في قطاع الخدمات المالية. توصل الباحثون إلى أن المؤسسات المالية تعمل على إصلاح نصف الثغرات الأمنية الخاصة بالطرف الأول في الأشهر التسعة الأولى، مقارنةً بمدة 13 شهرًا للثغرات الأمنية الخاصة بالطرف الثالث. ومن بينها، تتحول 52% من الثغرات الأمنية التي يرتكبها الطرف الثالث إلى ديون أمنية، في حين تتحول 44% من الثغرات الأمنية التي يرتكبها الطرف الأول إلى ديون أمنية.
أهمية تحديد الأولويات في معالجة المخاطر
تسبب انتشار هجمات سلسلة التوريد التي تستهدف قطاع الخدمات المالية إلى إعداد عدد متزايد من لوائح الأمن الإلكتروني مع التركيز بشكل أكبر على أمن البرمجيات. على سبيل المثال، تتطلب الأطر التنظيمية مثل ISO 20022، ومعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، وNIS2، وقانون المرونة التشغيلية الرقمية (DORA) من المؤسسات الحرص على منع نشر الثغرات الأمنية في التطبيقات.
ويتسبب هذا الأمر في تعريض المؤسسات لخطر عدم الامتثال بسبب الديون الأمنية الحالية واستراتيجيات الإصلاح القديمة. توضح الأبحاث الصادرة عن Veracode أن المؤسسات يمكنها معالجة هذا الخطر من خلال إعطاء الأولوية لـ 3.3% من الثغرات الأمنية التي تُشكِّل ديونًا أمنية بالغة الأهمية. يعني إصلاح الثغرات الأمنية الأكثر خطورة أولاً أن الكيانات المالية يمكنها بعد ذلك الانتقال إلى إصلاح ثغرات أمنية حرجة أخرى أو ديون غير حرجة وفقًا لقدراتها وإمكانية تحمُّلها للمخاطر.
دور إدارة وضع أمان التطبيقات
تخلق الحاجة المتزايدة إلى تحديد أولويات المخاطر طلبًا كبيرًا على إدارة وضع أمان التطبيقات (ASPM) لتتبُّع المخاطر بشكلٍ مستمر من خلال جمع المشكلات الأمنية ورؤيتها وتحليلها عبر دورة تطوير البرامج. توفر منصَّة إدارة مخاطر التطبيقات من Veracode رؤية شاملة وموحَّدة للمخاطر عبر التعليمات البرمجية والتطبيقات، مما يمكِّن المطورين وفرق الأمان من إصلاح المشكلات بسرعة. باستخدام الحل المدعوم بالذكاء الاصطناعي المعروف باسم “Veracode Fix”، يمكن للفرق منع الثغرات الأمنية الجديدة بشكل استباقي وتقليل تراكمات الأمان الحالية بشكل فعَّال. يوضح التحليل السياقي للمنصَّة الأسباب الجذرية، مما يوجه المطورين نحو الخطوات التالية المثالية التي تعمل على تخفيض المخاطر بأقل جهد وإلى أقصى حد ممكن.
واختتم Wysopal حديثه قائلاً: “لم يكن من المهم أبدًا لقطاع الخدمات المالية أن يظل في صدارة التهديدات الأمنية الإلكترونية المتطورة، ولا سيما مع الهجمات المتطورة التي تعتمد على الذكاء الاصطناعي والتي تهدد أمن أصولها. “ندعو المؤسسات المالية إلى إعطاء الأولوية لخفض الديون الأمنية في الوقت المناسب من خلال اعتماد أدوات الإصلاح المدعومة بالذكاء الاصطناعي وأدوات ASPM التي يمكنها اكتشاف الثغرات الأمنية وإعطائها الأولوية وإصلاحها في غضون ثوانٍ.”
يتوفَّر تقرير حالة أمن البرمجيات من Veracode لعام 2024 للقراءة على موقع Veracode الإلكتروني.
1 IBM، “تقرير تكلفة خرق البيانات لعام 2024″، IBM وPonemon Institute، بتاريخ 30 يوليو 2024
نبذة عن تقرير حالة أمن البرمجيات
يحلل تقرير حالة أمن البرمجيات لعام 2024 من شركة Veracode البيانات من الشركات الكبيرة والصغيرة ومورِّدي البرامج التجارية ومتعهدي البرمجيات الخارجيين والمشروعات مفتوحة المصدر. يعتمد البحث على أكثر من مليون (1,007,133) تطبيقًا عبر جميع أنواع عمليات المسح، و1,553,022 مسحًا للتحليل الديناميكي، و11,429,365 مسحًا للتحليل الثابت. نتج عن جميع عمليات المسح هذه 96 مليون نتيجة ثابتة أولية، و4 ملايين نتيجة ديناميكية أولية، و12.2 مليون نتيجة تحليل تكوين البرامج الأولية.