بورلينغتون، ماساتشوستس —
أصدرت Veracode، وهي مزود عالمي رائد لأمن البرمجيات الذكية، أبحاثاً جديدة تكشف عن العوامل الرئيسية التي تؤثر على ظهور الثغرات وتراكمها في قطاع الخدمات المالية. ويتفوق الأداء الأمني للتطبيقات المالية بشكل عام على الصناعات الأخرى، حيث تساهم الأتمتة والتدريب الأمني المستهدف والمسح عبر واجهة برمجة التطبيقات في خفض نسبة التطبيقات التي تحتوي على ثغرات على أساس سنوي.
في ضوء اللوائح التنظيمية الرئيسية التي تؤثر على قطاع الخدمات المالية، بما في ذلك قواعد الإفصاح عن الأمن السيبراني الصادرة عن هيئة الأوراق المالية والبورصة الأمريكية، وقانون المرونة التشغيلية الرقمية للاتحاد الأوروبي (DORA)، تقدم دراسة Veracode توصيات للحد من المخاطر الناجمة عن الثغرات في البرمجيات. في حين أن ما يقرب من 72 في المئة من التطبيقات في قطاع الخدمات المالية تحتوي على ثغرات أمنية، إلا أن هذا هو أدنى مستوى في جميع الصناعات التي تم تحليلها، ويعتبر تحسناً مقارنة بالعام الماضي.
وفي هذا الصدد، صرح Chris Eng، كبير مسؤولي الأبحاث في Veracode، قائلاً: “لقد أبرزت الخدمات المالية أداءً قويًا في جميع المجالات في تحليل هذا العام”. “لقد أدت زيادة المنافسة وتوقعات الزبائن، جنباً إلى جنب مع اللوائح الأكثر صرامة في جميع أنحاء الصناعة، إلى زيادة الضغط على المطورين وفرق الأمن للعثور على الثغرات وإصلاحها على نطاق واسع. علاوة على ذلك، أدى انفجار الذكاء الاصطناعي والتعلم الآلي إلى دفع وتيرة تطوير البرمجيات إلى مستوى جديد، مما أدى إلى فرط انتشار الثغرات. وقد نجح القطاع في تحسين أدائه، ولكن لا يزال هناك الكثير مما يتوجب القيام به، وستستفيد المنظمات المالية من زيادة الأتمتة وتقنيات الترميز الآمنة لمساعدتها على منع الثغرات واكتشافها والاستجابة لها بشكل أسرع من أي وقت مضى”.
يؤدي فحص واجهة برمجة التطبيقات والتدريب عليها إلى تقليل احتمالية حدوث الثغرات
وجدت أبحاث Veracode أن منظمات الخدمات المالية ترى تأثيرات أقوى من العناصر الإيجابية للمسح عبر واجهة برمجة التطبيقات والتدريب الأمني، مقارنة بالمتوسط بين الصناعات. ويعد المسح عبر واجهة برمجة التطبيقات مقياساً للنضج في برنامج أمن البرمجيات، ومن المرجح أن يكون للشركات التي تدمج استخدام واجهة برمجة التطبيقات أتمتة أكبر وتحكماً أكبر في مسار التطوير. وفي الواقع، فإن أولئك الذين يستفيدون من المسح عبر واجهة برمجة التطبيقات يقدمون أداءً أفضل بنسبة 11 في المئة من الاحتمالية الأساسية لغير المالية عندما يتعلق الأمر بحدوث العيوب في كل شهر. وتقلل إضافة التدريب الأمني التفاعلي إلى هذا المزيج من ذلك بشكل أكبر، حيث يقوم العاملان معاً بتقليل فرصة حدوث الثغرات بنسبة 19 في المئة في كل شهر.
كما أن تأثير المسح عبر واجهة برمجة التطبيقات والتدريب الأمني على عدد الثغرات عند حدوث ها أكثر وضوحاً. وعندما أكملت فرق الخدمات المالية 10 وحدات تدريبية أمنية تفاعلية، تعرضت لثغرات أقل بنسبة 26%، مما يجعل أداء القطاع أعلى بكثير من المتوسط في الصناعة بأكملها. وبالمثل، كان لإطلاق عمليات المسح عبر واجهة برمجة التطبيقات تأثير أقوى على عدد الثغرات التي حدثت في تطبيقات الخدمات المالية مقارنة بالصناعات الأخرى.
وصرح Eng قائلاً: “تشير البيانات إلى أن منظمات الخدمات المالية تستفيد بشكل كبير من الأتمتة من خلال استخدام واجهة برمجة التطبيقات. ويعد الوصول إلى الأتمتة أمراً طموحاً للعديد من المنظمات، ولكننا نرى أن إطلاق عمليات المسح عبر واجهة برمجة التطبيقات يرتبط باحتمالية أقل لحدوث الثغرات، ومن ثم تقليل كمية الثغرات التي تشق طريقها إلى البرمجيات. ومن غير المستغرب أن يكون للتدريب أيضاً علاقة مباشرة بخفض حدوث الثغرات”.
قوة الذكاء الاصطناعي والتعلم الآلي
كما حلل تقرير حالة أمن البرمجيات تفضيل اللغة بشكل عمودي ووجد، عند 51 في المئة، أن Java معيار فعلي تقريباً في قطاع الخدمات المالية. وتعمل Veracode Fix، وهي أداة معالجة قائمة على الذكاء الاصطناعي أطلقت في وقت سابق من هذا العام، على الاستفادة من التعلم الآلي لإصلاح 74 في المئة من نتائج Java الثابتة. ويمكِّن هذا الانخفاض الكبير في الوقت والجهد المنظمات من تحسين الوضع الأمني وتقليل المخاطر بشكل أكبر، مما يوفر القدرة على الابتكار والإبداع. علاوة على ذلك، وبما أن تطبيقات Java (أكثر من 95%) تتكون من كود طرف ثالث، تظهر بيانات Veracode الفوائد الصناعية لتحليل تكوين البرمجيات لتعزيز سلامة وكمال إدراج الأكواد مفتوحة المصدر.