Címkék: adatbiztonság, gépi tanulás, Micro Focus
Gépi tanulással fejleszthető az alkalmazásbiztonsági tesztelés
A vállalatok busás árat fizethetnek, ha akár csak egyetlen olyan szoftvert is igénybe vesznek, amely a kiberbűnözők által kihasználható sebezhetőséget tartalmaz.

 

A sérülékenységek azonosítása, rangsorolása és javítása azonban komoly szakértelmet és erőfeszítéseket igényel. A Micro Focus speciális megoldása anonimizált adatok és gépi tanulás segítségével teszi lehetővé, hogy a vállalatok egy kiterjedt közösség tapasztalataira alapozva tudják megkeresni és fontossági sorrendben javítani a hibákat. Egyre több biztonsági résre derül fény a szoftverekben.

Az általánosan elterjedt sebezhetőségeket listázó CVE Programban például 2021-ben 20 161 sérülékenységet tettek közzé. 2022-re pedig már az ötödével nőtt ez a szám (25 059-re), míg 2023-ban csak az első félévben már 14 149 hibát azonosítottak. Ezeket a gyenge pontokat használhatják ki a kiberbűnözők arra, hogy betörjenek a cégek rendszereibe, ezért a réseket minél hamarabb be kell foltozni.

Nem késhet a hibajavítás

A vállalatoknak tehát kiemelt figyelmet kell fordítaniuk az alkalmazásaik biztonságára, a potenciális sebezhetőségek azonosítására és javítására. Ugyanakkor ez nem lassíthatja le a szoftverfejlesztési ciklusaikat sem, hiszen a gyorsan változó felhasználói igények miatt rövid idő alatt kell elkészíteni és kiadni a szoftverek új funkcióit és frissítéseit.

A vállalatoknak ezért egyszerre kell szem előtt tartaniuk a hatékonyságot és a biztonságot az alkalmazásfejlesztés során. Ehhez érdemes a biztonsági tesztelést és javításokat is integrálni a fejlesztési folyamatokba, lehetőség szerint minél korábbi fázisokban. Minél később derül fény ugyanis a biztonsági résekre a fejlesztési ciklusban, annál nagyobb csúszást okoz a szoftver kiadásában a foltozás.

Szintén segíti a fejlesztési folyamatok hatékonyságának növelését, ha sikerül felgyorsítani a hibák keresését és javítását. Előbbi a legtöbb esetben már rövid idő alatt lefuttatható, mivel a statikus alkalmazásbiztonsági tesztelési (SAST – Static Application Security Testing) eszközök képesek bármely alkalmazás forráskódját átvizsgálni és azonosítani a kódban a sebezhetőségeket. A vizsgálatok eredményeit azonban értelmezni is kell, majd a javítások megkezdése előtt érdemes rangsorolni is a hibákat, hogy a kritikus fontosságúak kerüljenek sorra legelőször.

Profi és pontos toplista

Ilyen esetben hasznos, ha olyan fejlett megoldást használnak, mint a Fortify család. Ez a portfólió ugyanis olyan megoldást is tartalmaz, amely fejlett technológiára támaszkodva segít prioritás szerint rendezni a hibákat. Az eszköz azonosítja azokat a kritikus sérülékenységeket, amelyeket valóban ki tudnának használni a rosszindulatú támadók, és ezeket helyezi a lista elejére.

Az eljárás olyan osztályozási rendszert alkalmaz, amelyet gépi tanulással korábbi tesztek szakértők által auditált és anonimizált metaadataira alapozva alakítottak ki. Tehát semmilyen személyes adatot nem használ fel attól a szervezettől, ahol az elemzést lefuttatták, ám minden olyan hasznos adatot tartalmaz az egyes sérülékenységről, amely a szakmai döntéshez szükséges.

A sebezhetőség kategóriájától és súlyosságától kezdve a kód és a szoftver sebezhetőségéhez kapcsolódó adatokig, beleértve a programozási nyelvet, a fájlkiterjesztést és egyéb információkat. A módszer lehetővé teszi, hogy a teljes Fortify közösség szakmai tapasztalatát kihasználják a javításra váró hibák rangsorolásához anélkül, hogy érzékeny információk sérülnének.

Az eszköz a Micro Focus mérései alapján akár 98 százalékos pontossággal képes azonosítani a problémákat, miközben a fals negatívok aránya kevesebb, mint 1 százalék, a kézi ellenőrzésre fordított idő pedig akár 58 százalékkal is csökkenhet. A Fortify termékekhez ráadásul magyar nyelvű támogatás is elérhető, akár személyes jelenléttel, konzultációval és tanácsadással, így a helyi vállalatok minden felmerülő kérdésükre választ kaphatnak.

 

| Nyitókép: Adobe Stock

Szerző: Micro Focus
2024.01.09.
Magyar kutatók részvételével indult a kvantumfelhő-számítás biztonságát fejlesztő európai projekt
Az ELTE Informatikai Kar koordinálásával, európai összefogásban, az NKFI Alap közel 58 millió Ft-os támogatásával megvalósuló HSM-QCC projekt célja a felhőben elérhető kvantumszámítógépek biztonságos használatának megteremtése.
Minden eddiginél intenzívebb beruházások jöhetnek az infrastruktúra fejlesztésekben
A PwC Global Infrastructure Outlook elemzése szerint a következő 25 évben a beruházások volumene megduplázódik az elmúlt két évtizedhez képest. Az országok világszerte a mesterséges intelligencia, az elektrifikáció és az urbanizáció igényeihez igazítva modernizálják közlekedési, energetikai és ipari rendszereiket.
Egy lépéssel közelebb az autonóm épületek felé
Az egyre összetettebb épületüzemeltetési környezetekben, ahol a folyamatos működés és a biztonság egyaránt kritikus fontosságú a hagyományos, időszakos ellenőrzésen alapuló tűzvédelem korlátozottan képes kezelni a kockázatokat.
Ilyen lehet a jövő vállalata
Az idei SAP Sapphire konferencián az SAP bemutatta az Autonóm Vállalat koncepcióját, amelynek célja a legkritikusabb üzleti folyamatok új szintre emelése.
Akadémiai állásfoglalás az Európát fenyegető energiaválságról
Az Európai Akadémiák Tudományos Tanácsadó Testülete (EASAC) bemutatta hivatalos szakmai állásfoglalását, mely szerint a hazai megújuló energiákra való minél gyorsabb áttérés elengedhetetlen ahhoz, hogy Európa nemzetei ne szenvedjék meg a fosszilis energiahordozók árának egyre drámaibb ingadozását.
Impresszum | Adatkezelés