The Marker - חזרה לעמוד הבית
חיפוש

אסטרטגיה משולשת לצמצום סיכוני תוכנה: אנשים, תהליכים, טכנולוגיה

מפתה לחשוב שהפתרון לסיכוני הסייבר בתוכנה טמון בהטמעה כלי סריקת קוד מהירים וחדשניים יותר, אך שלומי צרפתי, מנהל מכירות אזורי ב-Synopsys Integrity Group, מאמין שנדרשת גישה הוליסטית לאבטחת יישומים (AppSec) המשלבת בעלי תפקידים, תהליכים וטכנולוגיות כדי למקסם את המדיניות והיעדים העסקיים של הארגון

שיתוף בוואטסאפ

הדפסת כתבה זמינה למנויים בלבד

ללא פרסומות ותמונות, ובהגשה נוחה להדפסה

לרכישת מינוי
תגובות:

קריאת זן זמינה למנויים בלבד

ללא פרסומות ובהגשה נוחה לקריאה

לרכישת מינוי
"ארגונים צריכים כלים חכמים, שמסוגלים להיטמע באוטומציה ל- Pipeline DevOps מבלי להתפשר על מהירות הפיתוח"
"ארגונים צריכים כלים חכמים, שמסוגלים להיטמע באוטומציה ל- Pipeline DevOps מבלי להתפשר על מהירות הפיתוח"
"ארגונים צריכים כלים חכמים, שמסוגלים להיטמע באוטומציה ל- Pipeline DevOps מבלי להתפשר על מהירות הפיתוח" צילום: shutterstock
"ארגונים צריכים כלים חכמים, שמסוגלים להיטמע באוטומציה ל- Pipeline DevOps מבלי להתפשר על מהירות הפיתוח" צילום: shutterstock
בשיתוף Synopsys Integrity Group
תוכן שיווקי

אין כיום ארגון שלא מסתמך על תוכנה כדי להיות חדשני, דיגיטלי ולספק ערך ללקוחות שלו. למעשה, כל עסק באשר הוא, הוא בית תוכנה. ואכן, התוכנה שהארגונים מפתחים ומשתמשים בה כדי לנהל את הפעילות העסקית שלהם מאפשרת להם לעבוד מהר יותר וביעילות רבה יותר. אך אם היא לא פותחה והוטמעה בצורה מאובטחת היא עלולה להכניס כמות ניכרת של סיכון, כאשר סיכון בתוכנה נחשב לסיכון עסקי לכל דבר ואין להקל בו ראש, וחובה לתעדף ולנהל זאת בצורה יזומה.

שלומי צרפתי
שלומי צרפתי
שלומי צרפתי צילום: שי בראל
שלומי צרפתיצילום: שי בראל

הכרה בסיכון תוכנה כסיכון עסקי
חדשות לבקרים אנו שומעים על דליפת מידע, בקשות כופר או מתקפה דרך פירצה בשרשרת אספקת התוכנה. על-פי מחקר שנערך לאחרונה, מספר דליפות המידע בשנת 2021 זינק ב-68% לשיא של כל הזמנים. העלייה הניכרת בהתקפות סייבר מדגישה את הצורך של ארגונים לנהל את סיכוני התוכנה שלהם ולשמור על מוניטין העסק והלקוחות. עם זאת, פעולה זו דורשת גישה הוליסטית רחבה לאבטחת כלל יישומי הארגון.

התוכנה של העולם המודרני הרבה יותר מורכבת ודינאמית - ארכיטקטורה של קוד קנייני, קוד פתוח וקוד צד שלישי - וזאת כאשר התוכנה נפרסת על גבי תשתיות ממגוון מקורות. בנוסף, תדירות עדכון קוד התוכנה גבוה יותר מאי פעם וכתוצאה מכך ניהול נכון של אותם סיכוני תוכנה מהווה אתגר יותר מתמיד.

היסטורית, האמונים על אבטחת התוכנה היו צוותי אבטחה ספציפיים, שנכנסנו למעורבות בשלב האחרון של תהליכי הפיתוח. כשהיו מתגלות פגיעויות בשלבים מאוחרים שכאלה, הלחץ לתיקון היה אינטנסיבי וטמן בחובו חזרה לקוד שפותח לפני שבועות ואולי אף חודשים. אי-שילוב הליך פיתוח מאובטח, בשלבים מוקדמים וכחלק אינטגרלי מתהליך הפיתוח, עלול להאט את הארגון ולעיתים קרובות אף לגרום לכך שגרסאות תוכנה פגיעות ישתחררו לפרודקשן, דבר שישאיר ארגונים בחשיפה מסוכנת למתקפות סייבר.

Synopsys Integrity Group
Synopsys Integrity Group
צילום: Synopsys Integrity Group

עד כמה שמפתה לחשוב שהפתרון טמון בהטמעה כלי סריקת קוד טובים יותר, מהירים יותר או חדשניים יותר, האמת היא שכדי להבטיח שקט נפשי אמיתי לארגון, אבטחת תוכנה לא צריכה להסתיים בכלים אוטומטיים. נדרשת כאן גישה הוליסטית לאבטחת יישומים (AppSec ), גישה המשלבת בעלי תפקידים, תהליכים וטכנולוגיות וזאת כדי למקסם את המדיניות הנכונה והיעדים העסקיים הייחודיים של הארגון.

מדיניות, מיומנות, מהירות
להלן שלוש האסטרטגיות הקריטיות לנקיטת גישה הוליסטית:

הגדרת אסטרטגיה ותוכנית מדיניות מקיפה
הדבר הראשון שיש לעשות כאשר שארגון בוחן מעבר לגישת אבטחת מידע הוליסטית הוא להבין מהי המדיניות העכשווית של הארגון, או במילים אחרות מהו ה-Benchmark שלהם, לזהות כיצד והיכן המקומות בהם צריך להשתפר, ובד בבד, לקבוע כיצד ומתי יבוצעו שיפורים אלו. בחינת שיטת אבטחת המידע העכשווית באמצעות הערכה אובייקטיבית ומונחית נתונים תאפשר לארגון להתמקד באותם תחומי סיכון החשובים ביותר לעסק שלהם, ולקבל החלטות מושכלות לגבי ניתוב המשאבים שעומדים לרשותו כדי לטפל בסיכונים אלו ביעילות. הערכות מסוג זה גם מאפשרת לארגונים לקחת בחשבון את סיכוני הרגולציה והתאמתם כחלק מתכנון האבטחה הכולל שלהם. ניתוח מבוסס תשאול ונתונים מאפשר לארגון להגדיר מדיניות המטפחת מהירות ועקביות, תוך כדי שמירה על תקני אבטחה ואיכות.

מיומנות אנושית ברחבי הארגון
אנשים הם הליבה של סביבת אבטחת יישומים יעילה. משמעות הדבר היא שכל מי שמעורב בשלבי פיתוח התוכנה חייב לעבוד בסנכרון מלא, כדי להיות בעל מסוגלות לטפל בבעיות אבטחה פוטנציאליות, ואין זה משנה באיזה שלב ב-SDLC הן מופיעות. כיום יש פער מיומנות חזק מאד. פחות מ-3% מהסטודנטים לתואר ראשון במדעי המחשב לומדים אבטחת סייבר כחלק מהתואר שלהם, ורוב המפתחים שעובדים כיום באבטחת מידע התחילו דרכם בתחומי פיתוח אחרים. כתוצאה מכך האחריות נופלת על הנהלת הארגון כדי להבטיח שלצוותים שלהם יש את הידע והכישורים הנכונים לעשות את העבודה בצורה מאובטחת ולהוציא קוד נקי.

כאן נכנסת לתמונה תוכנית של Security Training. כדי לפתח בצורה מאובטחת, ארגונים צריכים לספק סביבה שבה לכולם יש גישה להדרכה מונחית תוצאות, הדרכה ממוקדת לפי צורך ונושא. הדרכה המשתלבת ישירות בכלי הפיתוח ובזרימת הליך העבודה היום-יומי. הוספת תוכניות כגון Application Security Champions, אשר בהן מפתחים משתפים פעולה עם צוותי אבטחת המידע כדי לשמש כגשר בין שני צוותים אלו, יכולה לאפשר הפצת מיומנויות ולבנות תרבות ארגונית עם ניחוח של אבטחת מידע.

שילוב כלי סריקה ללא הפרעה למהירות הפיתוח
ארגונים צריכים לצייד את צוותי הפיתוח בכלים המאפשרים סריקות קוד ישירות מסביבת שולחן העבודה שלהם, תוך כדי שמירה על המהירות הנוגעת לעסק. עם זאת, כלי סריקה עלולים להיות מסובכים ולכן ארגונים שמנסים לנהל סיכונים באמצעות שימוש בכלים רבים מידי, בסופו של דבר "מטביעים" את המפתחים באוקיינוס של ממצאים חסרי משמעות. מכאן שערכת כלים חכמה ומונחית מדיניות יכולה להפעיל את הכלים הנכונים בזמן הנכון ולמפתחים הנכונים. ערכה זו משלבת בדיקות אבטחת יישומים בהתאם לתרשים הזרימה של הפיתוח, מתריעה בפני מפתחים על פגיעויות בעת הצגתן ומנחה אותם כיצד לתקן את הלקות בזמן אמת.

ארגונים צריכים כלים חכמים, שמסוגלים להיטמע באוטומציה ל- Pipeline DevOps מבלי להתפשר על מהירות הפיתוח. כלים אלה מריצים רק את הבדיקות הנדרשות ומסננים את התוצאות על סמך סבירות הסיכון, כך שהמפתחים יוכלו להתמקד בממצאים החמורים יותר.

לטפל בסיכונים ביעילות מבלי להתפשר על הפרודקטיביות
מרבית הארגונים מכירים בקריטיות של אבטחת הסייבר, אבל פריסת כלי סריקה ממש לא מספיקה. הסיכון עדיין קיים ופגיעויות עדיין עלולות להימצא בגרסאות התוכנה שיוצאות ב- release האחרון. נכון שאין פרסום רע, אך אף ארגון לא רוצה להיות הכותרת הבאה בעמוד הראשון כשגילו אצלו פירצת אבטחה. על-ידי יישום גישת AppSec הוליסטית, המשלבת פיתוח מיומנויות וכישורים עם טכנולוגיה חכמה המסופקת בקצות אצבעות המפתחים, הארגון יכול להעצים את העובדים שלו לטפל בסיכונים ביעילות מבלי להתפשר על הפרודקטיביות.

בניית אמון בפיתוח תוכנה על-ידי הטמעת האנשים, התהליכים והטכנולוגיה הנכונים מגנה על המוניטין של הארגונים ועל השורה התחתונה שלהם.

למידע נוסף בקרו באתר >>> synopsys

בשיתוף Synopsys Integrity Group

חזרה למדור

Labels

תוכן שיווקי

    כתבות שאולי פספסתם

    ארנסט אנד יאנג לונדון

    האם אלפי סטודנטים צריכים לדאוג? "זה לא הייטק. לא יחליפו אותם כל כך מהר"

    אפרת נוימן
    בית קפה בתל אביב בזמן המלחמה עם איראן, בשבוע שעבר

    מתווה הפיצוי לעסקים עוד לא הוכרז — אבל אפשר להיערך אליו כבר עכשיו

    אפרת נוימן
    דוכן של מיסטרל בתערוכת נשק בוושינגטון. החברה משמשת כקבלן ראשי בחוזים של משרד ההגנה האמריקאי

    אקזיט לאייל בנאי: אונדס קונה את מיסטרל בעסקת מניות בשווי 175 מיליון ד'

    חגי עמית
    בורסת סיאול, היום. לאיראן יש דרך לשבש את המכונה הכלכלית העולמית

    הזינוק בנפט והמפולת בשווקים הם הניצחון של איראן על טראמפ

    דפנה מאור
    יהודה הלוי 123, לאחר פגיעות ההדף. הבניין אוכלס מחדש ב-2019 - אבל ההליך המשפטי עדיין מתנהל

    הבניין עבר התחדשות ללא תוספת ממ"דים עקב מגבלות השימור – ואז פגע הטיל

    שלומית צור
    תרגיל מערכת נגד טילים

    מערכות ההגנה האווירית שלנו יחידות במינן? המלחמה חשפה את המתחרה הגדולה