متخصصان امنیت سایبری ساعت ها صرف مسائلی می کنند که باید از آنها جلوگیری می شد

به گفته Invicti، کارکنان امنیتی می توانند بیش از پنج ساعت را صرف رسیدگی به نقص های امنیتی که در چرخه توسعه برنامه رخ داده است، بگذرانند.

آسیب‌پذیری‌های امنیتی عادت بدی دارند که در طول فرآیند توسعه نرم‌افزار ظاهر می‌شوند، فقط پس از استقرار یک برنامه کاربردی ظاهر می‌شوند. بخش ناامیدکننده این است که بسیاری از این نقص‌های امنیتی می‌توانستند از قبل برطرف شوند، اگر از روش‌ها و ابزارهای مناسب برای کشف آنها استفاده می‌شد.

گزارشی که روز سه شنبه توسط شرکت امنیتی برنامه های وب Invicti منتشر شد، به زمان و منابع صرف شده برای ردیابی حفره های امنیتی در برنامه های توسعه یافته می پردازد.

دیدن: نقض رمز عبور: چرا فرهنگ پاپ و رمزهای عبور با هم ترکیب نمی شوند (PDF رایگان) (TechRepublic)

برای تنظیم گزارش خودوضعیت DevSecOps Professional: در محل کار و خارج از ساعتInvicti با تحقیقات Wakefield برای بررسی 500 متخصص امنیت سایبری و توسعه‌دهندگان نرم‌افزار با حداقل نقش‌های در سطح مدیر همکاری کرد. پاسخ دهندگان همگی از شرکت های آمریکایی با 2000 کارمند یا بیشتر بودند.

حدود 41٪ از متخصصان امنیتی و 32٪ از توسعه دهندگان مورد بررسی گفتند که بیش از پنج ساعت در روز را صرف رسیدگی به مسائل امنیتی می کنند که در وهله اول نباید رخ می داد. مقابله با این مشکلات امنیتی، به ویژه در بحبوحه به اصطلاح استعفای بزرگ و نگرانی از حملات سایبری قریب الوقوع، می تواند به راحتی منجر به کار بیش از حد و استرس در بین متخصصان شود.

حدود 81 درصد از پاسخ دهندگان گفتند که بلیط های پشتیبانی دارای “قدرت جادویی” برای رسیدن در پایان روز هستند. یک سوم از افرادی که در این نظرسنجی شرکت کردند گفتند که به دلیل مشکلات امنیتی در محل کار مجبور به لغو قرار ملاقات ها و شب های با دوستان خود شده اند. بعلاوه، نیمی از آنها فاش کردند که برای حل یک مشکل مجبور بوده اند در یک آخر هفته یا در زمان خودشان وارد سیستم شوند.

با وجود استرس، بسیاری از پاسخ دهندگان به جنبه های مثبت خاصی از شغل خود اشاره کردند.

حدود 65 درصد از متخصصان و توسعه دهندگان امنیتی گفتند که معتقدند در طول سال گذشته با جلوگیری از نقض، حداقل یک میلیون دلار در شرکت خود صرفه جویی کرده اند. 95٪ کامل گفتند که تحول دیجیتال و حرکت به سمت نیروی کار از راه دور شغل آنها را با ارزش تر و با ارزش تر کرده است. به علاوه، 49 درصد از افراد مورد بررسی گفتند که با همتایان خود در حوزه امنیت یا توسعه دوست هستند، که نسبت به یافته‌های سال گذشته بهبود یافته است.

با این حال، آسیب‌پذیری‌ها و مشکلات امنیتی مکرر که ظاهر می‌شوند، گواه نیاز به بهبود در چرخه توسعه برنامه‌ها هستند.

سونالی شاه، افسر ارشد تولید Invicti گفت: «امنیت اکنون وظیفه همه است، و بنابراین قطع ارتباط بین امنیت و توسعه اغلب باعث تأخیرهای غیرضروری و کارهای دستی می شود.

شاه افزود: «سازمان‌ها می‌توانند کار بیش از حد استرس‌زا و مشکلات مربوط به تیم‌های امنیتی و DevOps را با اطمینان از اینکه امنیت در چرخه عمر توسعه نرم‌افزار یا SDLC تعبیه شده است، کاهش دهند و یک فکر بعدی نباشد.» اسکن امنیتی برنامه باید هم در حین توسعه نرم افزار و هم پس از تولید به صورت خودکار انجام شود. با استفاده از ابزارهایی که زمان اسکن کوتاه، یافته‌های دقیق اولویت‌بندی شده با ریسک زمینه‌ای و ادغام در جریان‌های کاری توسعه را ارائه می‌دهند، سازمان‌ها می‌توانند امنیت را به چپ و راست تغییر دهند و در عین حال کدهای ایمن را به طور موثر ارائه کنند.

به گفته شاه، وقتی نوبت به توسعه نرم افزار می رسد، نوآوری و امنیت نیازی به رقابت ندارند. بلکه ذاتاً به هم مرتبط هستند.

شاه گفت: «وقتی یک استراتژی امنیتی مناسب دارید، تیم‌های DevOps این اختیار را پیدا می‌کنند که امنیت را در معماری طراحی اپلیکیشن ایجاد کنند. سازمان‌ها با ایجاد امنیت در SDLC و سرمایه‌گذاری در ابزارهایی که همه چیز را با دقت خودکار می‌کنند تا کار دستی را کاهش دهند، فضای بیشتری برای نوآوری دارند و می‌توانند اصطکاک بین امنیت و توسعه را از بین ببرند.