Опитування, проведене CyCognito, постачальником рішень для виявлення безпеки вебзастосунків, показало, що кількість вебзастосунків у їхньому середовищі завелика для адекватного тестування. Причому майже 75% залишають понад 40% поверхні атаки неперевіреними. Про це повідомляє DevOps.com.
Опитування 349 спеціалістів із кібербезпеки США та Великої Британії також виявило, що 60% ІТ-організацій оновлюють вебпрограми принаймні раз на тиждень, а майже три чверті (75%) тестують свої вебпрограми щомісяця або рідше.
Більше третини опитаних (35%) сказали, що їхня ІТ-організація стикається з інцидентом безпеки у вебпрограмі принаймні раз на тиждень. Понад чверть (26%) зауважили, що раз на тиждень стикаються із серйозними інцидентами, пов’язаними з вебпрограмою.
Крім того, більше половини респондентів (53%) вказали на труднощі з усуненням вразливостей, виявлених під час тестування вебзастосунків. Ще 54% опитаних намагаються усунути вразливості, які виявляють тести безпеки вебзастосунків. Майже третина (28%) згодні з тим, що вони не в змозі оперативно втілити результати тестування вразливості.
Опитування визначає найпоширеніші перешкоди для адекватного тестування вебзастосунків, включаючи обсяг API у виробничих середовищах (67%) і час, необхідний для тестування та моніторингу змін (66%).
Позитивним моментом є те, що майже дві третини (65%) заявили, що планують посилити автоматизацію робочих процесів тестування безпеки вебзастосунків.
Генеральний директор CyCognito Роб Гурзєєв зазначив, що відсутність тестування всього портфоліо вебзастосунків – це, по суті, гра чисел. Організації створюють і розгортають більше застосунків, аніж вони можуть ґрунтовно тестувати, якщо не інвестують більше в автоматизацію.
Що ще складніше, у багатьох організаціях не завжди зрозуміло, хто відповідає за забезпечення безпеки вебзастосунків. Більше чверті учасників опитування (26%) працюють в організаціях, які не мають офіційного процесу тестування робочих вебзастосунків. Майже чверть респондентів (24%) повідомили, що в їхній організації не було офіційного процесу передачі, коли вебпрограми були передані у виробництво, а групи безпеки відповідали за їх тестування, моніторинг і захист.
Ще більше опитаних (27%) сказали, що окремі бізнес-підрозділи не мали процесу залучення команди безпеки до розгортання вебпрограми. Подібна кількість (27%) не мали жодного процесу тестування безпеки вебзастосунків під час виробництва.
Приблизно 30–40% усіх тестувань проводиться щоквартально або рідше. Понад три чверті респондентів (77%) очікують, що їхній хмарний провайдер проведе принаймні деякі тести безпеки та виправлення.
У більшості організацій є багато можливостей для вдосконалення робочих процесів DevSecOps. Насправді уряди в усьому світі починають запроваджувати правила, які зобов’язуватимуть організації, що розгортають програмне забезпечення, відповідати за безпеку програм.
Завдяки прогресу в галузі штучного інтелекту кількість вебзастосунків, які будуть розгорнуті у наступні роки, експоненціально зросте. Загальний розмір портфоліо програм, які необхідно захистити, значно перевищує можливості організацій для ефективного захисту та керування ними.
Читайте також на ProIT, що майже 20% SQL Server не підтримуються Microsoft.
Раніше ми повідомляли, скільки коштує створити мобільну відеогру.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!