Gépi tanulással fejleszthető az alkalmazásbiztonsági tesztelés
A vállalatok busás árat fizethetnek, ha akár csak egyetlen olyan szoftvert is igénybe vesznek, amely a kiberbűnözők által kihasználható sebezhetőséget tartalmaz.

 

A sérülékenységek azonosítása, rangsorolása és javítása azonban komoly szakértelmet és erőfeszítéseket igényel. A Micro Focus speciális megoldása anonimizált adatok és gépi tanulás segítségével teszi lehetővé, hogy a vállalatok egy kiterjedt közösség tapasztalataira alapozva tudják megkeresni és fontossági sorrendben javítani a hibákat. Egyre több biztonsági résre derül fény a szoftverekben.

Az általánosan elterjedt sebezhetőségeket listázó CVE Programban például 2021-ben 20 161 sérülékenységet tettek közzé. 2022-re pedig már az ötödével nőtt ez a szám (25 059-re), míg 2023-ban csak az első félévben már 14 149 hibát azonosítottak. Ezeket a gyenge pontokat használhatják ki a kiberbűnözők arra, hogy betörjenek a cégek rendszereibe, ezért a réseket minél hamarabb be kell foltozni.

Nem késhet a hibajavítás

A vállalatoknak tehát kiemelt figyelmet kell fordítaniuk az alkalmazásaik biztonságára, a potenciális sebezhetőségek azonosítására és javítására. Ugyanakkor ez nem lassíthatja le a szoftverfejlesztési ciklusaikat sem, hiszen a gyorsan változó felhasználói igények miatt rövid idő alatt kell elkészíteni és kiadni a szoftverek új funkcióit és frissítéseit.

A vállalatoknak ezért egyszerre kell szem előtt tartaniuk a hatékonyságot és a biztonságot az alkalmazásfejlesztés során. Ehhez érdemes a biztonsági tesztelést és javításokat is integrálni a fejlesztési folyamatokba, lehetőség szerint minél korábbi fázisokban. Minél később derül fény ugyanis a biztonsági résekre a fejlesztési ciklusban, annál nagyobb csúszást okoz a szoftver kiadásában a foltozás.

Szintén segíti a fejlesztési folyamatok hatékonyságának növelését, ha sikerül felgyorsítani a hibák keresését és javítását. Előbbi a legtöbb esetben már rövid idő alatt lefuttatható, mivel a statikus alkalmazásbiztonsági tesztelési (SAST – Static Application Security Testing) eszközök képesek bármely alkalmazás forráskódját átvizsgálni és azonosítani a kódban a sebezhetőségeket. A vizsgálatok eredményeit azonban értelmezni is kell, majd a javítások megkezdése előtt érdemes rangsorolni is a hibákat, hogy a kritikus fontosságúak kerüljenek sorra legelőször.

Profi és pontos toplista

Ilyen esetben hasznos, ha olyan fejlett megoldást használnak, mint a Fortify család. Ez a portfólió ugyanis olyan megoldást is tartalmaz, amely fejlett technológiára támaszkodva segít prioritás szerint rendezni a hibákat. Az eszköz azonosítja azokat a kritikus sérülékenységeket, amelyeket valóban ki tudnának használni a rosszindulatú támadók, és ezeket helyezi a lista elejére.

Az eljárás olyan osztályozási rendszert alkalmaz, amelyet gépi tanulással korábbi tesztek szakértők által auditált és anonimizált metaadataira alapozva alakítottak ki. Tehát semmilyen személyes adatot nem használ fel attól a szervezettől, ahol az elemzést lefuttatták, ám minden olyan hasznos adatot tartalmaz az egyes sérülékenységről, amely a szakmai döntéshez szükséges.

A sebezhetőség kategóriájától és súlyosságától kezdve a kód és a szoftver sebezhetőségéhez kapcsolódó adatokig, beleértve a programozási nyelvet, a fájlkiterjesztést és egyéb információkat. A módszer lehetővé teszi, hogy a teljes Fortify közösség szakmai tapasztalatát kihasználják a javításra váró hibák rangsorolásához anélkül, hogy érzékeny információk sérülnének.

Az eszköz a Micro Focus mérései alapján akár 98 százalékos pontossággal képes azonosítani a problémákat, miközben a fals negatívok aránya kevesebb, mint 1 százalék, a kézi ellenőrzésre fordított idő pedig akár 58 százalékkal is csökkenhet. A Fortify termékekhez ráadásul magyar nyelvű támogatás is elérhető, akár személyes jelenléttel, konzultációval és tanácsadással, így a helyi vállalatok minden felmerülő kérdésükre választ kaphatnak.

 

| Nyitókép: Adobe Stock

A hazai vállalkozások digitális fejlesztéseit támogatja az új hitelprogram
December 5-től már igényelhető az európai uniós forrásból megvalósuló DIMOP Plusz hitelprogram két pályázata, amelyek a hazai mikro-, kis- és középvállalkozások digitalizációjának támogatását célozzák.
Digitális forradalom a transzformátor-alállomásokban
Nagy nyomás nehezedik az energiaszektorra. A németországi elosztóhálózat-üzemeltetőknek gyorsan fel kell készíteniük infrastruktúrájukat az energetikai átállásra.
AI-alapú hálózati biztonsági asszisztens elemzi az informatikai fenyegetéseket
A Zyxel Network elindította a SecuPilotot, a SecuReporter Cloud Analytics szolgáltatáson belüli mesterséges intelligencia asszisztens funkcióját.
Az építőiparban is megjelent az autonóm járműtechnológia
A létesítménygazdálkodásban használatos digitális dokumentáció és jelentéskészítő platformot forgalmazó PlanRadar márciusban bemutatta, mostanra pedig elérhetővé vált új SiteView funkciója, amely egy projekt 360°-os képeit rögzíti és rávetíti egy 2D-s tervre, részletes vizuális feljegyzést készítve az építési területen zajló tevékenységekről.
Minél zöldebb, annál valószínűbb, hogy becsődöl
A nagyok fizetőképesebbek, de jobban is szennyeznek, a kicsikre a zöld célok elérésében számíthatunk inkább, az alkalmazottak és a számlák kifizetésében kevésbé. Itt tartanak a magyar cégek, ha szóba kerül az ESG.