- ثلثا المؤسسات في منطقة أوروبا والشرق الأوسط وإفريقيا تعاني من ديون أمنية ونصفها تقريبًا تعاني من ديون تعتبر “حرجة”
- 80% من التعليمات البرمجية للطرف الثالث لديها ديون أمنية حرجة، وهي نسبة أعلى بكثير من المتوسط العالمي
لندن
كشفت اليوم شركة Veracode، الشركة الرائدة عالميًا في إدارة مخاطر التطبيقات، عن لمحة عامة عن منطقة أوروبا والشرق الأوسط وإفريقيا في تقريرها السنوي عن حالة أمن البرمجيات لعام 2024، والذي كشف عن مستويات مثيرة للقلق من الديون الأمنية في المؤسسات في جميع أنحاء أوروبا والشرق الأوسط وإفريقيا.
توصلت أبحاث Veracode إلى أن 68 بالمائة من المنظمات في منطقة أوروبا والشرق الأوسط وإفريقيا تعاني من بعض مستويات الديون الأمنية، في حين تعاني 46 بالمائة منها من عيوب مستمرة عالية الخطورة في التعليمات البرمجية، والتي تصنف على أنها ديون أمنية “حرجة”. تمثل هذه العيوب عالية الخطورة أكبر خطر على التطبيقات وهي قنبلة موقوتة مع احتمال حدوث خروقات كارثية.
في عالم يمكن أن يكون فيه كل تفاعل مع تطبيق ما نقطة دخول محتملة للمهاجمين السيبرانيين، أصبح فهم الديون الأمنية وإدارتها أكثر أهمية من أي وقت مضى. يمكن أن يتراكم الدين الأمني، الذي تم تعريفه في هذا التقرير على أنه عيوب في البرامج تظل غير ثابتة لمدة تزيد عن عام، عندما يفتقر المطورون إلى الوقت أو الموارد لمعالجة العيوب التي يحتمل أن تكون خطيرة. بمرور الوقت، تتراكم هذه العيوب، مما يجعل المنظمات عرضة بشكل متزايد للمهاجمين.
قال Chris Eng، كبير مسؤولي الأبحاث في شركة Veracode: “إن نتائج تقرير حالة خدمات الأمن السيبراني لمنطقة أوروبا والشرق الأوسط وأفريقيا لهذا العام تشكل جرس إنذار للمؤسسات في المنطقة. ينبغي للشركات أن تركز بشكل كبير على معالجة ديون الأوراق المالية الحرجة أولاً، نظرًا لأن هذه العيوب تشكل أعلى المخاطر”.
غالبًا ما يفشل المطورون المكلفون بمهمة فرز العيوب وإصلاحها يدويًا في معالجة الديون الأمنية المتزايدة، ويُعزى ذلك إلى بطء جداول الإصلاح وتحديد الأولويات. وجد تحليل الجداول الزمنية للإصلاح في أوروبا والشرق الأوسط وإفريقيا أن المؤسسات التي تستخدم الأساليب اليدوية تستغرق في المتوسط 19 شهرًا لإصلاح العيوب في التعليمات البرمجية للطرف الثالث، مقارنة بتسعة أشهر للتعليمات البرمجية للطرف الأول. مع هذا العدد الهائل من العيوب التي تجب معالجتها، يجب على المنظمات تحديد أولويات نقاط الضعف التي يجب إصلاحها أولاً، وخاصة العيوب الحرجة.
وعندما يتعلق الأمر بمصادر الديون الأمنية، وجد التقرير أن 84% من الديون الأمنية بشكل عام تأتي من التعليمات البرمجية للطرف الأول التي تم تطويرها داخليًا. وفي الوقت نفسه، فإن 80 في المئة من الديون الأمنية الحرجة تنبع من التعليمات البرمجية للطرف الثالث، والتي غالبًا ما تمر دون أن يلاحظها أحد، ولكنها قد تكون خطيرة بنفس القدر بالنسبة للمؤسسات في منطقة أوروبا والشرق الأوسط وإفريقيا. والأهم من ذلك، أن إحصائيات الديون الأمنية الحرجة أعلى بكثير من المعدل العالمي البالغ 65 في المئة.
الاستفادة من الذكاء الاصطناعي لمعالجة الثغرات الأمنية
على الرغم من أن المطورين يستخدمون مولدات رموز الذكاء الاصطناعي بشكل متزايد لإنشاء برامج بسبب السرعة والكفاءة التي تجلبها، إلا أنها لا تنتج دائمًا تعليمة برمجية آمنة. في الواقع، وجدت الأبحاث الحديثة أن 36 بالمائة من التعليمات البرمجية التي تم إنشاؤها بواسطة أداة GitHub CoPilot المدعومة بالذكاء الاصطناعي تحتوي على ثغرات أمنية.
يمكن أيضًا استخدام الذكاء الاصطناعي لتقليص الديون الأمنية، ودعم المطورين وفرق الأمان من خلال تقليل الوقت اللازم لإصلاح الثغرات الأمنية بشكل كبير. وأضاف Eng: “إن أدوات الإصلاح المدعومة بالذكاء الاصطناعي يمكن أن توفر للفرق قدرًا كبيرًا من الوقت من خلال أتمتة توصيات الإصلاح ومعالجة العيوب على نطاق واسع. على سبيل المثال، أدى حل الإصلاح المدعوم بالذكاء الاصطناعي، Veracode Fix، إلى تقليل أوقات إصلاح الثغرات الأمنية الشائعة من أيام إلى دقائق، مما أدى إلى تعزيز إنتاجية المطورين بشكل كبير”.
تخفيف الديون الأمنية في بيئة معقدة
وبما أن ثلاثة أخماس (60%) من جميع العيوب في المؤسسات في منطقة أوروبا والشرق الأوسط وإفريقيا لا تعتبر ديونًا أمنية وليست ذات شدة حرجة، فقد أصبح من الأسهل والأكثر قابلية للإدارة بالنسبة للمطورين التركيز على إصلاح الأربعين بالمائة التي تشكل أعلى نسبة من المخاطر. وبمجرد معالجة هذه المشكلة، يمكن للمنظمات بعد ذلك المضي قدمًا في معالجة الديون الأمنية غير الحرجة أو العيوب الحرجة الأحدث، استنادًا إلى قدرتها على تحمل المخاطر وقدراتها.
بالنسبة لأولئك الذين يسعون للحصول على إرشادات تحديد الأولويات بشأن الديون الأمنية، يمكن لأدوات إدارة أوضاع أمن التطبيقات (ASPM) تتبع المخاطر باستمرار من خلال جمع وتحليل وتحديد أولويات المشكلات الأمنية عبر دورة تطوير البرمجيات.
أصبحت أدوات ASPM أكثر شيوعًا لأنها توفر رؤية شاملة وموحدة للمخاطر عبر مجموعات التطبيقات، وتسهل معالجة المشكلات. توفر Longbow، المدعومة من Veracode، أدوات ASPM للوصول إلى السبب الجذري للمشكلة من خلال التحليل السياقي واقتراح أفضل الإجراءات التالية لتقليل أكبر قدر من المخاطر بأقل قدر من الجهد.
واختتم Eng: “يسلط انتشار الديون الأمنية بين منظمات أوروبا والشرق الأوسط وإفريقيا الضوء على الحاجة إلى اتخاذ إجراءات فورية لحماية الشركات من الانتهاكات المستقبلية. يجب على قادة الأمن والمطورين التركيز على تصحيح العيوب الأكثر أهمية التي تقدم أكبر قدر من المخاطر بالنظر إلى سياقها. ستمكّن الحلول الأمنية المدعومة بالذكاء الاصطناعي والتي تعمل على توسيع نطاق جهود الإصلاح الفرق من معالجة ديونها الأمنية المتزايدة بشكل أكثر كفاءة وتقليل مقدار الوقت الذي يمكن فيه استغلال نقاط الضعف”.
صورة SoSS EMEA تتوفر للتنزيل على موقع Veracode الإلكتروني. للوصول إلى تقرير حالة أمن البرمجيات 2024 الكامل واكتساب رؤى أعمق حول النتائج والتوصيات، قم بزيارة الموقع الإلكتروني.
حول تقرير حالة أمن البرمجيات
قام تقرير حالة أمن البرمجيات لعام 2024 من Veracode بتحليل البيانات من الشركات الكبيرة والصغيرة وموردي البرامج التجارية ومتعهدي البرمجيات الخارجيين والمشاريع مفتوحة المصدر. يستمد البحث معلوماته من أكثر من مليون (1,007,133) تطبيق عبر جميع أنواع المسح، و1,553,022 مسحًا للتحليل الديناميكي، و11,429,365 مسحًا للتحليل الثابت. أنتجت جميع عمليات المسح هذه 96 مليون نتيجة ثابتة أولية، و4 ملايين نتيجة ديناميكية أولية، و12.2 مليون نتيجة تحليل لتكوين البرامج الأولية.