מחקר: צוותי האבטחה מבזבזים זמן בתיקון חולשות לא רלוונטיות

לפי ג'ייפרוג, רוב דירוגי חומרת החולשות בשרשרת האספקה של התוכנה - מטעים ● רוב החולשות ה-"חמורות" לא היו רלוונטיות ועדיין, 60% מצוותי האבטחה השקיעו רבע מזמנם בתיקונן

חולשות שהוגדרו "חמורות", אבל לא היו באמת כאלה? זה חמור...

פעמים רבות, צוותי האבטחה בארגונים משקיעים זמן רב ומיותר על תיקונן של חולשות שאינן רלוונטיות. בנוסף, רוב דירוגי חומרת החולשות בשרשרת האספקה של התוכנה הם מטעים – כך לפי מחקר חדש של ג'ייפרוג.

לפי מפתחת פתרונות ה-DevOps הישראלית, 74% מהחולשות הנפוצות, שדווחו עם דירוגי CVSS (חומרת החולשה) "גבוהים" ו-"קריטיים" ב-100 אפליקציות הקהילה המובילות ב-Docker Hub – לא היו באמת ניתנות לניצול.

הדו"ח מציין כי "הדירוגים המסורתיים מתייחסים רק לחומרת הפגיעה האפשרית ולא לסיכוי שהיא תנוצל בפועל. לכן, נדרש ניתוח של ההקשר ואופן השימוש בקוד הפגיע כדי לבצע הערכת סיכונים אפקטיבית". לאחר ניתוח שכזה, צוות מחקר האבטחה של ג'ייפרוג הוריד את דירוג החומרה של 85% מהחולשות הקריטיות ו-73% מהחולשות הגבוהות.

החוקרים כתבו כי "מתקפות מניעת השירות (DoS) שולטות: מתוך 212 החולשות הבולטות שנותחו, 44% היו כאלה שאפשרו ביצוע מתקפת מניעת שירות, לעומת 17% חולשות שאפשרו הרצת קוד מרחוק (RCE). זו בשורה משמעותית לארגוני אבטחה, כיוון שלחולשות שמאפשרות הרצת קוד מרחוק יש השפעה מזיקה בהרבה: ניצולן נותן לתוקף שליטה מלאה מרחוק במערכות הפגיעות".

הוכחה: אבטחה פוגעת בפרודוקטיביות

במחקר מוכח שאבטחה פוגעת בפרודוקטיביות: 40% מהארגונים ציינו שהזמן הממוצע לקבלת אישור שימוש בחבילת תוכנה או בספרייה חדשה הוא יותר משבוע – מה שמאריך את זמן היציאה לשוק של אפליקציות חדשות ועדכוני תוכנה.

עוד עלה כי "יש חוסר אחידות בבדיקות אבטחה, ונדרשת אבטחה לאורך תהליך פיתוח התוכנה (SDLC)". לפי החוקרים, "אין בתעשייה הסכמה גורפת לגבי התזמון האידיאלי לביצוע בדיקות אבטחה לאורך תהליך זה. הממצאים מצביעים על חשיבותה של גישת Shift Left & Right – יישום של בדיקות אבטחה בשלבים מוקדמים ומאוחרים כאחד".

יותר מדי פתרונות אבטחה

היבט נוסף שעולה מהדו"ח הוא ריבוי כלי אבטחה: כמעט מחצית מאנשי ה-IT, כ-47% מהם, משתמשים ב-4-9 פתרונות אבטחת יישומים שונים. כשליש מהם משתמשים ב-10 פתרונות אבטחה ויותר.

גם תחום ה-AI נבחן במחקר של ג'ייפרוג, והחוקרים מצאו ש-"יש שימוש לא מאוזן בכלי בינה מלאכותית ולימוד מכונה עבור אבטחה: 90% מהארגונים ציינו כי הם משתמשים בכלי AI ו-ML כדי לסייע בסריקות אבטחה ותיקון חולשות, אך רק כשליש מהם, 32%, דיווחו שהארגון משתמש בהם כדי לכתוב קוד. הנתון מעיד על כך שמרבית הארגונים עדיין חוששים מחולשות פוטנציאליות שעלולות לחדור לתוכנה ארגונית בשל שימוש שכזה".

"בעוד שמספר החולשות גדל משנה לשנה, הן לא בהכרח הופכות להיות חמורות יותר", אמר שחר מנשה, מנהל בכיר בגוף מחקר האבטחה של ג'ייפרוג. "צוותי IT משקיעים בכלים חדשים כדי לחזק את האבטחה שלהם, אבל עליהם לדעת איפה למקם את הכלים, כיצד לנצל את זמן הצוות ולייעל תהליכים. כל אלה הם מרכיבים קריטיים לשמירה על אבטחת שרשרת אספקת התוכנה שלהם".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. Moshe

    Why not link to the full report? https://jfrog.com/software-supply-chain-state-of-union/

אירועים קרובים