جمع بندی سایبری: قسمت سوم | امنیت حرفه ای


Veracode گزارش وضعیت امنیت نرم افزار 2023 دریافتند که ایجاد نقص در طول زمان به‌گونه‌ای است که تقریباً 32 درصد از برنامه‌ها در اولین اسکن دارای نقص هستند و تا زمانی که به مدت پنج سال تولید می‌شوند، تقریباً 70 درصد دارای حداقل یک نقص امنیتی هستند. Veracode از سال 2010 گزارش سالانه خود را منتشر می کند و اکتشافات کلیدی پایگاه مشتریان خود را خلاصه می کند.

این شرکت نرم‌افزاری پیشنهاد می‌کند که در اوایل چرخه عمر توسعه نرم‌افزار، اصلاح را در اولویت قرار دهید تا ریسک ناشی از تجمع نقص به حداقل برسد. کریس انج، مدیر ارشد تحقیقات Veracode، گفت: “مانند تمام مطالعات خود، ما تصمیم گرفتیم بینش هایی را ارائه دهیم که توسعه دهندگان بتوانند فوراً آن را عملی کنند. از یافته‌های امسال، دو ملاحظات مهم پدیدار شد: چگونه می‌توان شانس معرفی نقص‌ها را در وهله اول کاهش داد و چگونه تعداد آن نقص‌هایی را که معرفی می‌شوند کاهش داد. جدا از کنترل‌های دسترسی فنی، شیوه‌های کدگذاری امن برای امنیت سایبری در سال 2023 و پس از آن بسیار مهم‌تر است.»

پس از اسکن اولیه، برنامه‌ها به سرعت وارد یک «دوره ماه عسل» از ثبات می‌شوند و تقریباً 80 درصد آنها در 1.5 سال اول هیچ نقص جدیدی ندارند. با این حال، پس از این مرحله، تعداد نقص های جدید معرفی شده دوباره شروع به افزایش به حدود 35 درصد در علامت پنج ساله می کند.

این مطالعه نشان داد که آموزش توسعه‌دهندگان، استفاده از انواع مختلف اسکن، از جمله اسکن از طریق API، و فرکانس اسکن، عوامل مؤثری در کاهش احتمال معرفی نقص هستند، و به تیم‌ها پیشنهاد می‌شود که آنها را جزء اصلی برنامه‌های امنیتی نرم‌افزار خود قرار دهند. به عنوان مثال، رد شدن ماه‌ها بین اسکن‌ها با افزایش احتمال یافتن نقص‌ها در زمان اجرای اسکن مرتبط است. علاوه بر این، نقص‌های اصلی برنامه‌ها بر اساس نوع آزمایش متفاوت است، و اهمیت استفاده از انواع اسکن‌های متعدد را برای اطمینان از عدم شناسایی نقص‌های دشوار برجسته می‌کند.

Veracode همچنین 30000 مخزن منبع باز را که به صورت عمومی در GitHub میزبانی شده بودند، بررسی کرد. حدود 10 درصد از مخازن تقریباً 6 سال است که تعهدی (تغییر در کد منبع) نداشته اند. Eng گفت: “با استفاده از یک راه حل تجزیه و تحلیل ترکیب نرم افزار (SCA) که از منابع متعدد برای ایرادات استفاده می کند، فراتر از پایگاه داده ملی آسیب پذیری، به تیم ها پس از افشای یک آسیب پذیری هشدار قبلی داده و آنها را قادر می سازد تا اقدامات حفاظتی را سریعتر اجرا کنند، امیدوارم قبل از شروع بهره برداری. . تنظیم سیاست‌های سازمانی پیرامون تشخیص و مدیریت آسیب‌پذیری و همچنین در نظر گرفتن راه‌هایی برای کاهش وابستگی‌های شخص ثالث نیز توصیه می‌شود.

شرکت تشخیص و پاسخ به تهدیدات سایبری اخراج کردن خود را منتشر کرده است Expeltations بزرگ 2023 گزارش. این شرکت می‌گوید که SOC (مرکز عملیات امنیتی) آن دریافت که 23 درصد از تلاش‌های BAC از فعالیت‌های اعلان فشاری MFA (تأیید هویت چند عاملی) و 6 درصد از تلاش‌های BAC (مخاطب برنامه‌های تجاری) از خستگی اعلان فشار برای ارضای MFA سرچشمه گرفته است. زمانی است که مهاجم به طور مداوم اعلان‌های فشار ارسال می‌کند تا زمانی که کارمند درخواست را «مجوز» یا «تأیید» کند و به مهاجم اجازه می‌دهد تا MFA را برآورده کند.

بن بریگیدا، مدیر عملیات SOC در اکسپل، گفت: «متاسفانه، برای ما تعجب آور نیست که حملات تهدید هویت (مانند BEC) در سال 2022 به عنوان یک تهدید اصلی برای مشتریان ما باقی ماند – که با یافته های سال 2021 ما مطابقت دارد. تلاش‌های BEC 50 درصد از تمام حوادثی بود که SOC ما مشاهده کرد، و ما انتظار داریم که این تعداد افزایش یابد. به این ترتیب، ما فکر می کنیم که هر CISO و CFO باید تهدیدات هویتی را در سال پیش رو اولویت بندی کند.

من پیش‌بینی می‌کنم که ما همچنان شاهد افزایش حملات خستگی فشار اعلان وزارت خارجه باشیم. به بیان ساده، آنها کار می‌کنند و این واقعیت که تعداد فزاینده‌ای از سازمان‌ها برای دسترسی به برنامه‌های کاربردی سازمانی خود به SSO روی می‌آورند به این معنی است که آنها اهدافی شاداب برای مهاجمان هستند.»

نظر کلاه سیاه

آیا هکرهای کلاه سیاه باید درصدی از وجوهی را که به سرقت برده‌اند پرداخت کنند و در صورت بازگرداندن اکثر غنایم، تحت پیگرد قانونی قرار نگیرند. این سوال در سراسر پلتفرم های رسانه های اجتماعی شرکت امنیت سایبری Naoris Protocol (تویتر، لینکدین، تلگرام و دیسکورد) پرسیده شد.

حدود 48 درصد از افراد در نظرسنجی گفتند که با این دیدگاه موافق هستند، در حالی که 38 درصد گفتند مخالف هستند و 13 درصد مطمئن نیستند. کسانی که در این نظرسنجی شرکت می کنند در امنیت سایبری، CeFi، DeFi و Web2 و Web3 سنتی کار می کنند یا به این حوزه ها علاقه دارند.

سوال این است که آیا این باید یک رویه پذیرفته شده باشد که هکرها بدون پیگرد قانونی محاکمه شوند زیرا می توان آنها را به عنوان یک عملکرد پاکسازی امنیت سایبری در نظر گرفت. برای برخی، اگر هکرها همه چیزهایی را که به سرقت رفته است پس بدهند و در ازای آن، تعمیرات امنیتی را در ازای یک هزینه جایزه معقول ارائه کنند، ممکن است خوشایند باشد.

پروتکل نائوریس می گوید که یک جنبش قوی وجود دارد که از نقش هکرهای قانونی و اخلاقی حمایت می کند که در محدوده قوانین انعام یک شرکت کار می کنند. اکنون بسیاری از شرکت‌ها به جایزه‌ها به عنوان بخشی جدایی‌ناپذیر از بودجه سایبری خود نگاه می‌کنند. به عنوان مثال، کل بازار جایزه اشکالات در سال 2020 به ارزش 223 میلیون دلار برآورد شد و طبق تحقیقات شرکت تحقیقاتی ATR، انتظار می‌رود که رشد آن 54 درصد در سال باشد و تا سال 2027 به 5.5 میلیارد دلار برسد.

مونیکا اوراکووا، یکی از بنیانگذاران و مدیر عامل، پروتکل نائوریس گفت: «اجازه دادن به هکرها از فعالیت های شرورانه خود نه تنها کل اخلاق یک سیستم مالی غیرمتمرکز را تضعیف می کند، بلکه رفتاری را ترویج می کند که بی اعتمادی را تقویت می کند و کمکی نمی کند. در پذیرش انبوه بلاک چین و سیستم های غیرمتمرکز برای جایگزینی فرآیندهای متمرکز قدیمی.

بنابراین، نمی توان آن را به عنوان چیزی که در هیچ سطحی باید تحمل کرد، تلقی کرد. اصول یک سیستم مالی ایمن و عادلانه تغییر نمی کند. این فرض که تنها راه حل مسئله هک این است که مشکل را بخشی از راه حل قرار دهیم، به طور مهلکی ناقص است.

ممکن است یک ترک کوچک را برای مدت کوتاهی برطرف کند، اما شکاف زیر بار تعمیرات ضعیف به رشد خود ادامه خواهد داد و منجر به بی ثباتی بازار خواهد شد.

این تصور که برای یک هکر قابل قبول است که با انجام یک هک، پول از یک پروتکل یا پلتفرم را بدزدد – و قطعاً دزدی است – و سپس پول آن هک مخرب را با پول از این پلتفرم دریافت کند، در واقع می تواند باعث ایجاد انگیزه برای هک شود و آن را ایجاد کند. یک رویه تجاری مشروع بنابراین فقط به این دلیل که یک هکر به اندازه کافی خوب است که بخشی از وجوه را برگرداند، آن را به یک عمل خوب تبدیل نمی کند. داشتن گروهی از هکرها که در فضای امنیت سایبری ظاهراً این عکس‌ها را صدا می‌کنند، حداقل احمقانه است.»




منبع: https://www.professionalsecurity.co.uk/news/interviews/cyber-round-up-part-three/