La velocidad de la transformación electronic puede conducir a una mayor …



Las industrias de más rápido movimiento están luchando por producir código seguro, según los expertos de AppSec.

Las iniciativas de transformación digital se han convertido en una forma común para que las empresas hagan sus negocios más ágiles y se adapten rápidamente a los cambios del mercado. Pero las velocidades de desarrollo de software más rápidas y la mayor cantidad de aplicaciones pueden hacer que las vulnerabilidades sean más comunes, dijeron esta semana expertos en seguridad de aplicaciones.

Industrias como la fabricación, la TI y el comercio minorista tienen cada una una gran proporción de empresas cuyas aplicaciones siempre son vulnerables, según el informe mensual de AppSec Stats Flash de WhiteHat Security. El setenta por ciento de las aplicaciones en las empresas de fabricación, el 56% de las aplicaciones de TI y el 56% de las aplicaciones minoristas tienen al menos una vulnerabilidad grave que afecta al software program durante todo el año, según el informe.

Junto con las agencias gubernamentales, la atención médica y el sector inmobiliario, estas industrias tienen la mayor proporción de aplicaciones que tienen vulnerabilidades durante todo el año, según el informe.

«Estas industrias pertenecen a un grupo de industrias que han visto cómo su número de aplicaciones por organización ha aumentado drásticamente en los últimos años a medida que su negocio se vuelve cada vez más digital», dice Zach Jones, director senior de investigación de detección en WhiteHat Safety. «Para la mayoría de las organizaciones, lograr un tiempo promedio de reparación de menos de 30 días en las vulnerabilidades de riesgo crítico y alto es una política que rara vez se logra».

A medida que más empresas persiguen iniciativas de transformación digital, un proceso para volverse más nativos digitalmente, la tasa de creación de software package se acelera y la implementación de funciones aumenta.

Datos de WhiteHat Safety muestra una brecha significativa entre las empresas que suelen tener un gran volumen de aplicaciones y las industrias que impulsan iniciativas de transformación digital. Las industrias que normalmente tienen menos aplicaciones, como la agricultura, la gestión de residuos y la construcción, tienen muchas más probabilidades de tener ventanas de exposición más cortas.

La manufactura, la TI y el comercio minorista son algunos de los partidarios más entusiastas de las iniciativas de transformación electronic y entre las industrias que se ocupan de una gran parte de las aplicaciones eternamente vulnerables.

«Las organizaciones en normal han aumentado la tasa y el volumen de aplicaciones que están introduciendo en producción al tiempo que reducen el tiempo para lanzar estas aplicaciones», afirma WhiteHat en su informe. «En consecuencia, el enfoque en la reparación de vulnerabilidades críticas y vulnerabilidades ha disminuido, lo que resulta en un aumento en el tiempo de reparación de estas vulnerabilidades».

Es más possible que las empresas centradas en el desarrollo rápido al estilo DevOps utilicen aplicaciones de código abierto, y eso significa que sus equipos de desarrollo deben prestar más atención a los componentes vulnerables y no solo a las vulnerabilidades en su propio código. según Veracode.

El año pasado, el 31% de las aplicaciones han tenido más vulnerabilidades en los componentes de la aplicación de código abierto, en lugar de los componentes de código personalizado, dice Chris Wysopal, cofundador y director de tecnología de Veracode.

«La gente quiere usar esos entornos porque hay más código abierto disponible, pero es un arma de doble filo», dice. «Más código abierto disponible significa que puede ir más rápido, pero a menudo hay más vulnerabilidades en el código abierto que en el código que ha escrito».

Algunas industrias se están abrumando con vulnerabilidades. La administración pública, los servicios educativos y los servicios públicos toman al menos 365 días para corregir la vulnerabilidad promedio, según el informe de WhiteHat. En promedio, las vulnerabilidades críticas y de alta gravedad tardan menos de 200 días en solucionarse, mientras que las vulnerabilidades de baja gravedad tardan más de 320 días.

«Se debe incentivar a los líderes y desarrolladores para que se preocupen por la creación de aplicaciones seguras y la solución de problemas cuando se encuentran», dice Jones de WhiteHat. «Por lo common, la mayoría de las organizaciones de ingeniería se miden y se compensan solo con la entrega de funciones, y es extremadamente raro ver que un requisito de función contenga algún lenguaje sobre requisitos de seguridad, a menos que sea una función de seguridad específica».

La ciberseguridad es la principal prioridad de inversión para las empresas digitalmente maduras, seguida de la nube y el análisis de datos, según una encuesta anual por Deloitte.

Las empresas no deben establecer metas poco realistas, y reducir el tiempo de más de 200 días a menos de 30 días no sucederá de la noche a la mañana, dice Jones. De hecho, muchas empresas nunca solucionan las vulnerabilidades en menos de un mes.

«El establecimiento de una política poco realista es algo que vemos que ocurre muy a menudo, y da como resultado que las violaciones de políticas se normalicen y, por lo tanto, se ignoren», dice. «Establezca un umbral que signifique algo y sobre el que pueda actuar. Luego, cuando esté alcanzando ese umbral, ajuste la política».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Examining, MIT&#39s Technology Evaluation, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary