
Veracode گزارش وضعیت امنیت نرم افزار 2023 دریافتند که ایجاد نقص در طول زمان بهگونهای است که تقریباً 32 درصد از برنامهها در اولین اسکن دارای نقص هستند و تا زمانی که به مدت پنج سال تولید میشوند، تقریباً 70 درصد دارای حداقل یک نقص امنیتی هستند. Veracode از سال 2010 گزارش سالانه خود را منتشر می کند و اکتشافات کلیدی پایگاه مشتریان خود را خلاصه می کند.
این شرکت نرمافزاری پیشنهاد میکند که در اوایل چرخه عمر توسعه نرمافزار، اصلاح را در اولویت قرار دهید تا ریسک ناشی از تجمع نقص به حداقل برسد. کریس انج، مدیر ارشد تحقیقات Veracode، گفت: “مانند تمام مطالعات خود، ما تصمیم گرفتیم بینش هایی را ارائه دهیم که توسعه دهندگان بتوانند فوراً آن را عملی کنند. از یافتههای امسال، دو ملاحظات مهم پدیدار شد: چگونه میتوان شانس معرفی نقصها را در وهله اول کاهش داد و چگونه تعداد آن نقصهایی را که معرفی میشوند کاهش داد. جدا از کنترلهای دسترسی فنی، شیوههای کدگذاری امن برای امنیت سایبری در سال 2023 و پس از آن بسیار مهمتر است.»
پس از اسکن اولیه، برنامهها به سرعت وارد یک «دوره ماه عسل» از ثبات میشوند و تقریباً 80 درصد آنها در 1.5 سال اول هیچ نقص جدیدی ندارند. با این حال، پس از این مرحله، تعداد نقص های جدید معرفی شده دوباره شروع به افزایش به حدود 35 درصد در علامت پنج ساله می کند.
این مطالعه نشان داد که آموزش توسعهدهندگان، استفاده از انواع مختلف اسکن، از جمله اسکن از طریق API، و فرکانس اسکن، عوامل مؤثری در کاهش احتمال معرفی نقص هستند، و به تیمها پیشنهاد میشود که آنها را جزء اصلی برنامههای امنیتی نرمافزار خود قرار دهند. به عنوان مثال، رد شدن ماهها بین اسکنها با افزایش احتمال یافتن نقصها در زمان اجرای اسکن مرتبط است. علاوه بر این، نقصهای اصلی برنامهها بر اساس نوع آزمایش متفاوت است، و اهمیت استفاده از انواع اسکنهای متعدد را برای اطمینان از عدم شناسایی نقصهای دشوار برجسته میکند.
Veracode همچنین 30000 مخزن منبع باز را که به صورت عمومی در GitHub میزبانی شده بودند، بررسی کرد. حدود 10 درصد از مخازن تقریباً 6 سال است که تعهدی (تغییر در کد منبع) نداشته اند. Eng گفت: “با استفاده از یک راه حل تجزیه و تحلیل ترکیب نرم افزار (SCA) که از منابع متعدد برای ایرادات استفاده می کند، فراتر از پایگاه داده ملی آسیب پذیری، به تیم ها پس از افشای یک آسیب پذیری هشدار قبلی داده و آنها را قادر می سازد تا اقدامات حفاظتی را سریعتر اجرا کنند، امیدوارم قبل از شروع بهره برداری. . تنظیم سیاستهای سازمانی پیرامون تشخیص و مدیریت آسیبپذیری و همچنین در نظر گرفتن راههایی برای کاهش وابستگیهای شخص ثالث نیز توصیه میشود.
شرکت تشخیص و پاسخ به تهدیدات سایبری اخراج کردن خود را منتشر کرده است Expeltations بزرگ 2023 گزارش. این شرکت میگوید که SOC (مرکز عملیات امنیتی) آن دریافت که 23 درصد از تلاشهای BAC از فعالیتهای اعلان فشاری MFA (تأیید هویت چند عاملی) و 6 درصد از تلاشهای BAC (مخاطب برنامههای تجاری) از خستگی اعلان فشار برای ارضای MFA سرچشمه گرفته است. زمانی است که مهاجم به طور مداوم اعلانهای فشار ارسال میکند تا زمانی که کارمند درخواست را «مجوز» یا «تأیید» کند و به مهاجم اجازه میدهد تا MFA را برآورده کند.
بن بریگیدا، مدیر عملیات SOC در اکسپل، گفت: «متاسفانه، برای ما تعجب آور نیست که حملات تهدید هویت (مانند BEC) در سال 2022 به عنوان یک تهدید اصلی برای مشتریان ما باقی ماند – که با یافته های سال 2021 ما مطابقت دارد. تلاشهای BEC 50 درصد از تمام حوادثی بود که SOC ما مشاهده کرد، و ما انتظار داریم که این تعداد افزایش یابد. به این ترتیب، ما فکر می کنیم که هر CISO و CFO باید تهدیدات هویتی را در سال پیش رو اولویت بندی کند.
من پیشبینی میکنم که ما همچنان شاهد افزایش حملات خستگی فشار اعلان وزارت خارجه باشیم. به بیان ساده، آنها کار میکنند و این واقعیت که تعداد فزایندهای از سازمانها برای دسترسی به برنامههای کاربردی سازمانی خود به SSO روی میآورند به این معنی است که آنها اهدافی شاداب برای مهاجمان هستند.»
نظر کلاه سیاه
آیا هکرهای کلاه سیاه باید درصدی از وجوهی را که به سرقت بردهاند پرداخت کنند و در صورت بازگرداندن اکثر غنایم، تحت پیگرد قانونی قرار نگیرند. این سوال در سراسر پلتفرم های رسانه های اجتماعی شرکت امنیت سایبری Naoris Protocol (تویتر، لینکدین، تلگرام و دیسکورد) پرسیده شد.
حدود 48 درصد از افراد در نظرسنجی گفتند که با این دیدگاه موافق هستند، در حالی که 38 درصد گفتند مخالف هستند و 13 درصد مطمئن نیستند. کسانی که در این نظرسنجی شرکت می کنند در امنیت سایبری، CeFi، DeFi و Web2 و Web3 سنتی کار می کنند یا به این حوزه ها علاقه دارند.
سوال این است که آیا این باید یک رویه پذیرفته شده باشد که هکرها بدون پیگرد قانونی محاکمه شوند زیرا می توان آنها را به عنوان یک عملکرد پاکسازی امنیت سایبری در نظر گرفت. برای برخی، اگر هکرها همه چیزهایی را که به سرقت رفته است پس بدهند و در ازای آن، تعمیرات امنیتی را در ازای یک هزینه جایزه معقول ارائه کنند، ممکن است خوشایند باشد.
پروتکل نائوریس می گوید که یک جنبش قوی وجود دارد که از نقش هکرهای قانونی و اخلاقی حمایت می کند که در محدوده قوانین انعام یک شرکت کار می کنند. اکنون بسیاری از شرکتها به جایزهها به عنوان بخشی جداییناپذیر از بودجه سایبری خود نگاه میکنند. به عنوان مثال، کل بازار جایزه اشکالات در سال 2020 به ارزش 223 میلیون دلار برآورد شد و طبق تحقیقات شرکت تحقیقاتی ATR، انتظار میرود که رشد آن 54 درصد در سال باشد و تا سال 2027 به 5.5 میلیارد دلار برسد.
مونیکا اوراکووا، یکی از بنیانگذاران و مدیر عامل، پروتکل نائوریس گفت: «اجازه دادن به هکرها از فعالیت های شرورانه خود نه تنها کل اخلاق یک سیستم مالی غیرمتمرکز را تضعیف می کند، بلکه رفتاری را ترویج می کند که بی اعتمادی را تقویت می کند و کمکی نمی کند. در پذیرش انبوه بلاک چین و سیستم های غیرمتمرکز برای جایگزینی فرآیندهای متمرکز قدیمی.
بنابراین، نمی توان آن را به عنوان چیزی که در هیچ سطحی باید تحمل کرد، تلقی کرد. اصول یک سیستم مالی ایمن و عادلانه تغییر نمی کند. این فرض که تنها راه حل مسئله هک این است که مشکل را بخشی از راه حل قرار دهیم، به طور مهلکی ناقص است.
ممکن است یک ترک کوچک را برای مدت کوتاهی برطرف کند، اما شکاف زیر بار تعمیرات ضعیف به رشد خود ادامه خواهد داد و منجر به بی ثباتی بازار خواهد شد.
این تصور که برای یک هکر قابل قبول است که با انجام یک هک، پول از یک پروتکل یا پلتفرم را بدزدد – و قطعاً دزدی است – و سپس پول آن هک مخرب را با پول از این پلتفرم دریافت کند، در واقع می تواند باعث ایجاد انگیزه برای هک شود و آن را ایجاد کند. یک رویه تجاری مشروع بنابراین فقط به این دلیل که یک هکر به اندازه کافی خوب است که بخشی از وجوه را برگرداند، آن را به یک عمل خوب تبدیل نمی کند. داشتن گروهی از هکرها که در فضای امنیت سایبری ظاهراً این عکسها را صدا میکنند، حداقل احمقانه است.»
منبع: https://www.professionalsecurity.co.uk/news/interviews/cyber-round-up-part-three/