امنیت از تبر بودجه جان سالم به در می برد

اگر به افراد خود آموزش ندهید که نرم افزار خود را اصلاح کنند، تمام بودجه امنیتی در جهان کمکی نخواهد کرد.

طبق داده‌های جدید خبر خوب این است که رکود اقتصادی یا خیر، امنیت همچنان یک هزینه غیرقابل کاهش برای CIOها باقی مانده است. از پژوهش مورگان استنلی. خبر بد این است که اگر همان CIOها نرم‌افزار خود را وصله نکنند، هیچ‌یک از این موارد کار نمی‌کند. نایب رئیس AWS مت ویلسون کاملاً درست می‌گوید وقتی استدلال می‌کند، “مسئولیت مصرف‌کننده است. نرم‌افزاری که در سیستم‌های حیاتی از نظر امنیت یا قابلیت اطمینان مستقر شده است تا به طور ایمن آن را وصله کند (از جمله موارد دیگر)، یا خدمات لازم برای حفظ آن را برای آنها حفظ کند.”

با این حال، این نیز درست است که نرم‌افزار اصلاح‌نشده، منبع باز یا غیره، همچنان بزرگترین بردار حمله برای هکرها. این شاید یک مشکل بزرگ‌تر برای منبع باز باشد، نه به این دلیل که ذاتا امن نیست (برعکس به حقیقت نزدیک‌تر است)، بلکه به این دلیل که بسیار مورد استفاده قرار می‌گیرد. به این ترتیب، ما می‌توانیم به سرمایه‌گذاری برای امنیت منبع باز ادامه دهیم، اما اگر شرکت‌ها نتوانند نرم‌افزاری را که به آن وابسته هستند خسته کنند، چقدر کمک خواهد کرد؟

پول بیشتر، مشکلات کمتر؟

اول، خبر خوب: CIOها، زمانی که در اولویت بندی هزینه های امنیتی واکنش نشان می دادند، اکنون فعال هستند. توسط برآورد گارتنر نشان می‌دهد که شرکت‌ها در سال ۲۰۲۱ بیش از ۱۵۰ میلیارد دلار برای محصولات امنیتی هزینه کرده‌اند. این پول زیادی است و به نظر نمی‌رسد در سال ۲۰۲۲ یا بعد از آن کاهش یابد. وقتی از مدیران ارشد فناوری اطلاعات پرسیده شد که در صورت سقوط اقتصاد به رکود، احتمالاً کدام پروژه‌های فناوری اطلاعات را تأمین مالی می‌کنند، CIOها امنیت را در صدر فهرست قرار می‌دهند، هم از نظر مصونیت در برابر کاهش (به‌عنوان بالاتر از هر چیز دیگری، از جمله تحول دیجیتال، یک دوم قوی) و هم برای رشد هزینه‌ها، درست پشت سر محاسبات ابری. این نشان دهنده پیشرفت واقعی است، با توجه به اینکه امنیت قبلاً چیزی بود که شرکت ها فقط پس از ضربه زدن به نقض ادعا می کردند که به آن اهمیت می دادند.

شرکت ها کجا هزینه می کنند؟ با برخی گزارش‌ها، بودجه به مدیریت هویت و دسترسی، امنیت پیام‌رسانی و امنیت شبکه و موارد دیگر هدایت می‌شوند. طبق IDC، پول به سرویس‌های امنیتی مدیریت‌شده، به‌علاوه آزمایش خودکار برنامه‌ها و موارد دیگر می‌رود.

اتوماسیون عاقلانه به نظر می رسد. میکروسرویس‌ها و سایر گرایش‌های فناوری اطلاعات به طور قابل‌توجهی امنیت سازمانی را پیچیده کرده‌اند، حتی اگر مجموعه‌ای از مزایا را به ارمغان بیاورند، به عنوان در سال ۲۰۲۰ نوشتم: “در دنیایی که توسعه دهندگان می سازند و هر کس دیگری وظیفه تمیز کردن آنها را بر عهده دارد، امنیت همیشه یک مشکل است، چه در مورد میکروسرویس ها صحبت کنیم. یا برنامه های یکپارچه. اتوماسیون می تواند به کاهش احتمال از دست دادن آزمایش و وصله لازم برای یک نرم افزار خاص کمک کند.

این امر حتی مهم‌تر می‌شود زیرا شرکت‌ها از سطوح رو به افزایش نرم‌افزار منبع باز استفاده می‌کنند بدون لزوم ایجاد فرآیندهایی برای وصله و نگهداری آن. نرم افزار منبع باز احتمالاً یک فرآیند برتر برای ایمن سازی نرم افزار ارائه می دهد، اما بدون اصلاح، می تواند به همان اندازه بد باشد. هر نرم افزار اختصاصی وصله نشده بنابراین وقتی عناوین نادرست مانند “کد منبع باز به دلیل استفاده بی رویه از آن، گزارش ادعاها، ناامن و خطرناک است”، یادآوری

افراد بخشی از فرآیند امنیتی هستند

ممکن است به سمت یک نگرانی اساسی تر حرکت کنیم. همانطور که کریس گوتل از ایوانتی ، “بازیگران تهدید امنیتی همیشه در ایجاد سوء استفاده های امنیتی سریعتر از اکثر شرکت هایی که هدف قرار می دهند حرکت می کنند.” چقدر سریعتر؟ خوب، طبق تحقیق RAND، اگرچه برای یک تهدید امنیتی فقط ۲۲ روز طول می کشد. بازیگری که بر روی یک تهدید شناخته شده سرمایه گذاری کند، این تهدید می تواند تقریباً هفت سال بدون وصله بماند. دلیل این امر می‌تواند به دلیل استفاده از کدهای نگهداری نشده باشد (بسیار رایج)، یا صرفاً به این دلیل که شرکت نمی‌تواند یک آسیب‌پذیری شناخته شده عمومی را اصلاح کند.

با همه علاقه تازه‌ای که به تأمین مالی نرم‌افزارهای امنیتی پیدا کرده‌ایم، من را به این فکر می‌اندازد که آیا نباید پول بیشتری برای ایجاد یک ذهنیت امنیتی سرمایه‌گذاری کنیم. وضعیت امنیتی یک شرکت فقط به خوبی افرادی است که آن را مدیریت می کنند. بنیاد امنیت نرم‌افزار باز حق دارد آموزش‌های امنیتی را در فهرست حوزه‌های خود در اولویت قرار دهد. باید به منظور بهبود امنیت برای منبع باز مورد توجه قرار گیرد، اگرچه همان اصول تا حد زیادی برای هر نرم افزاری اعمال می شود.

اخیراً، برخی از شرکت‌های بزرگ شرط‌بندی‌های بزرگی را روی امنیت منبع باز انجام دادند و ۱۵۰ میلیون دلار برای کمک به ایمن کردن زیرساخت‌های منبع باز کلیدی متعهد شدند. این یک ابتکار عالی است، اما من معتقدم که به اندازه کافی پیش نمی رود. امنیت همیشه به افراد و فرآیندها مربوط می شود که هر دوی آنها را می توان با اتوماسیون کمک کرد، اما مگر اینکه افرادی که وظیفه ایمن سازی نرم افزارهای سازمانی خود را دارند در مورد نحوه فکر کردن به امنیت در منبع باز یا موارد دیگر آموزش نبینند، هیچ مقدار پول نقد برای ما خرید نخواهد کرد. امنیت.

در واقع، همانطور که آلیسا ایری می نویسد ، نیاز به آموزش و همچنین توافق در سرتاسر سازمان است که کدام سیستم ها باید برای نگهداری امنیتی در اولویت قرار گیرند. در مقاله Irei، داگ کیهیل، تحلیلگر ارشد در Enterprise Strategy Group، به این نکته اشاره می‌کند که «فقط سیل وصله‌ها وجود دارد. هرچه سازمان بزرگتر و ناهمگون تر باشد، عملی کمتری برای اینکه همه سیستم ها در همه زمان ها جاری باشند، عمل می کند. با توجه به هجوم سیستم‌هایی که نیاز به اصلاح دارند، شرکت‌های هوشمند نرم‌افزاری را که از حیاتی‌ترین برنامه‌ها پشتیبانی می‌کند، عقب‌نشینی، ارزیابی و اولویت‌بندی می‌کنند.

همچنین ممکن است یک وصله با شکستن سازگاری و آفلاین کردن برنامه های مشتری مدار، مشکلات بیشتری نسبت به حل آن ایجاد کند. اما در این زمینه ها، مثل همیشه، کلید آموزش افراد و ایجاد فرآیندهاست. این یک راه طولانی برای گفتن است که قبل از شروع به لاف زدن در مورد هزینه های کلان برای امنیت، مطمئن شوید که آن را در زمینه های مناسب خرج می کنید. برای مشاهده وضعیت خود، پاسخ‌های خود را به این نه سوال درباره امنیت ابر بررسی کنید.