أصدرت Veracode، المزود العالمي الرائد لأمن البرمجيات الذكية، اليوم بحثًا يشير إلى أن التطبيقات التي طورتها مؤسسات القطاع العام تميل إلى أن تكون بها عيوب أمنية أكثر من التطبيقات التي أنشأها القطاع الخاص. النتائج جديرة بالملاحظة لأن الأعداد المتزايدة من العيوب ونقاط الضعف في التطبيقات ترتبط بزيادة مستويات المخاطر. يأتي البحث وسط موجة من المبادرات الأخيرة من قبل الحكومة الفيدرالية لتعزيز الأمن السيبراني، بما في ذلك الجهود المبذولة للحد من نقاط الضعف في التطبيقات التي تؤدي وظائف حكومية مهمة.

وجد الباحثون أن ما يقل قليلاً عن 82 في المائة من التطبيقات التي طورتها مؤسسات القطاع العام بها عيب أمني واحد على الأقل تم اكتشافه في أحدث مسح لهم على مدار الـ 12 شهرًا الماضية، مقارنة بـ 74 في المائة من مؤسسات القطاع الخاص. اعتمادًا على نوع الخلل الذي تم تتبعه، كان لدى تطبيقات القطاع العام احتمالية أعلى بنسبة 7-12 في المائة لحدوث خلل تم إدخاله في الأشهر الـ 12 الماضية.

"الفرق بين معدل ظهور العيوب في تطبيقات القطاعين العام والخاص كبير. الجهود التي تبذلها الحكومة لسد الفجوة ضرورية وينبغي أن تستمر. صرح Chris Eng، كبير مسؤولي الأبحاث في Veracode "بصفتنا حماة للسلامة العامة، تتحمل الوكالات مسؤولية سد هذه الفجوة وتعزيز الأمن لحماية الأمة ومواطنيها".

ساعد تحليل البيانات التي تم جمعها من أكثر من 27 مليون عملية مسح عبر 750,000 تطبيق في إصدار أحدث تقرير سنوي لـ Veracode على State of Software Security. يعرض هذا التقرير الجديد النتائج الخاصة بالقطاع العام من عمليات المسح والتطبيقات تلك، بما في ذلك النتائج من الحكومة الفيدرالية وحكومات الولايات والحكومات المحلية.

الأرقام وحدها لا تنقل العواقب التي تحدث عندما يستغل المخترقون عيوب البرامج ونقاط الضعف. في أوائل شهر مايو من هذا العام، تسبب هجوم فدية ضد مدينة دالاس في عرقلة الوظائف التي تم الاعتماد عليها لتقديم الخدمات العامة، بما في ذلك أنظمة تكنولوجيا المعلومات التي تستخدمها وكالات السلامة العامة. بعد أكثر من ثلاثة أسابيع من وقوع الهجوم، لم تتعاف الوكالات العامة في دالاس تمامًا.

عيوب عالية الخطورة: فوز للقطاع العام

وجدت أبحاث Veracode أيضًا أسبابًا تجعل مؤسسات القطاع العام متفائلة بشأن أمان التطبيقات. كان اكتشاف العيوب "شديدة الخطورة" في تطبيقات القطاع العام (16.5 بالمائة) في فترة 12 شهرًا أقل من التطبيقات غير التابعة للقطاع العام (19 بالمائة). هذا جدير بالملاحظة لأن العيوب شديدة الخطورة، عند استغلالها، لديها إمكانية أكبر للتأثير على الأنظمة بشكل عكسي.

يشجع اختبار التطبيقات الحديثة على استخدام أنواع متعددة من أدوات الفحص الأمني، مثل اختبار أمان التطبيقات الثابتة (SAST) وتحليل تكوين البرامج (SCA)، لأن أنواع الفحص المختلفة تتفوق في الكشف عن أنواع مختلفة من العيوب. وجدت SAST و SCA عيوبًا في التطبيق في نسبة أقل من وكالات القطاع العام مقارنة بتطبيقات القطاع الخاص.

يمكن أن يشير العثور على عيوب أقل عند استخدام أدوات SCA إلى التأثير الأولي لـ الأمر التنفيذي مايو 2021 (EO 14028)، الذي يوجه الوكالات الفيدرالية الأمريكية لتنشيط الجهود لحماية سلسلة توريد البرامج. يدعو الأمر التنفيذي (EO) أيضًا إلى زيادة استخدام فواتير المواد البرمجية (SBOMs)، والتي تسرد المكونات في البرامج، وبالتالي تعزز مشاركة المعلومات والشفافية والرؤية. في مكان آخر، يقوم البرنامج الفيدرالي لإدارة المخاطر والتفويض (FedRAMP) بتوحيد التقييم الأمني للمنتجات والخدمات السحابية. وبالمثل، يمكّن StateRAMP حكومات الولايات والحكومات المحلية من التحقق من امتثال مزودي الخدمات السحابية لسياسات الأمن السيبراني.

صرح المهندس: "مع تطور أنظمة تكنولوجيا المعلومات الحديثة وأصبحت أكثر تعقيدًا، أصبح تصنيف عيوب التطبيق أكثر تنوعًا". "على هذا النحو، أصبح استخدام أنواع مسح متعددة للعثور على العيوب وإصلاحها من أفضل الممارسات."

أوقية وقاية خير من رطل علاج

يتمثل الاختلاف الصارخ بين تطبيقات القطاعين العام والخاص في المعدل الذي تكتشف به عمليات المسح عيوبًا جديدة في البرامج القديمة. بحلول الوقت الذي يتم فيه إنتاج البرمجيات لمدة خمس سنوات، يتباعد القطاعان بشكل حاد: تزداد معدلات العيوب الجديدة التي أدخلت في تطبيقات القطاع الخاص، بينما تنخفض معدلات وكالات القطاع العام.

يشير هذا الاتجاه إلى أن هيئات القطاع العام أكثر يقظة بشأن الحفاظ على أمان التطبيقات بمرور الوقت، وليس فقط خلال السنوات القليلة الأولى من دورة الحياة. على النقيض من ذلك، تشهد التطبيقات خارج الحكومة زيادة تدريجية وثابتة في ظهور عيوب جديدة مع تقدم العمر.

يوصي تقرير القطاع العام لأمن البرمجيات لعام 2023 بأربع إجراءات يمكن أن تتخذها الوكالات لتحسين وضع الأمن السيبراني لديها.

• التدارك: إصلاح العيوب المتراكمة المعروفة
• المسح بانتظام: المسح غير المتسق يجعل إصلاح العيوب أكثر صعوبة، مما يؤدي إلى المزيد من الأعمال المتراكمة
• الأتمتة: تقلل أتمتة الاختبار عبر واجهات برمجة التطبيقات من إدخال العيوب في التطبيقات
• أضف DAST إلى المكدس: استخدام المسح الديناميكي لاكتشاف العيوب التي تفتقدها أنواع المسح الأخرى

"لقد قطع القطاع العام شوطًا طويلاً في تعزيز أمان التطبيقات التي تخدم حكومتنا، ولكن لا يزال هناك المزيد من العمل الذي يتعين القيام به للوكالات لتحسين وضعها السيبراني وصد التهديدات الواردة. من خلال تركيز الجهود الأمنية على السبب الجذري لمعظم الخروقات السيبرانية - طبقة التطبيق - يمكن للوكالات تحقيق التحسينات اللازمة. وخلص المهندس إلى أن الفحص المنتظم باستخدام مجموعة متنوعة من أنواع الاختبار ومعالجة الديون الأمنية - الثغرات الأمنية المتراكمة التي تهدد سلامة النظام - سيمهد الطريق نحو مستقبل أكثر أمانًا للوكالات الحكومية".