O Ai O Boom continua a abalar o mundo como o conhecemos e alimentar o rápido desenvolvimento de novas tecnologias. Embora essa onda de inovação seja emocionante, também vem com um nível sem precedentes de exposição ao risco cibernético.
Como com qualquer coisa de ponta, a regulamentação e a conformidade estão se recuperando quando se trata de parar hackers maliciosos. Mas há outro problema crescente no horizonte. A escala e a complexidade dos hackers ultrapassaram a capacidade humana de responder, levando a um aumento no tempo de remediação de falhas e, por sua vez, uma maior exposição à exploração e ameaça cibernética.
Encontrar as falhas é a parte mais fácil, mas as empresas estão se afogando segurança dívidas enquanto lutam para competir com uma superfície de ataque crescente e invasões cibernéticas cada vez mais sofisticadas. Isso não apenas cria problemas de capacidade para as equipes que corrigem as falhas, mas também expõem as empresas a ameaças críticas cibernéticas.
Diretor de Tecnologia da EMEA na Veracode.
Por que o tempo é essencial quando se trata de segurança cibernética
O processo de fixação de falhas geralmente começa a sério, mas diminui com o tempo, com outras prioridades tendo precedência. Infelizmente, quanto mais uma falha sobrevive, menor a probabilidade de ser resolvida. A pesquisa descobriu que o tempo que leva para corrigir falhas disparou, 47% em cinco anos e 327% em 15, agora com média de 252 dias. Nesse ritmo, negócios Pode estar esperando mais de 400 dias para corrigir vulnerabilidades até 2030, mergulhando-as em um ciclo de Whack-A-Mole com a crescente dívida de segurança.
Mas por que isso está acontecendo?
Junto com a evolução de sofisticado Ferramentas da AIfalhas cibernéticas se tornaram cada vez mais complexas e difíceis de corrigir. À medida que os aplicativos se tornam maiores e incorporam mais componentes de terceiros, o escopo para possíveis falhas aumenta, tornando-o mais demorado para remediar problemas. Mesmo que uma equipe interna esteja escrevendo código impecável, o restante da cadeia de suprimentos não é-70% de Aplicações Tenha falhas no código de terceiros devido ao uso de bibliotecas de código aberto.
Outro problema em desenvolvimento é que muitas equipes estão sob imensa pressão para lançar rapidamente novos recursos, depresendo as correções de segurança, a menos que sejam absolutamente críticas. A gravidade não é mais um dos principais fatores de remediação de falhas, e mais empresas estão sonolenta no vermelho da dívida de segurança.
Não resolvidos, as organizações ficam mais expostas a violações de segurança à medida que os tempos de fixação se estendem e o ecossistema de software cresce em complexidade. A exposição a violações deve aumentar à medida que mais equipes adotam a IA para geração de código e, com quase três quartos de organizações tendo acumulado algum nível de dívida de segurança, o problema só vai piorar sem ação.
O efeito indolente da lacuna de habilidades digitais
Embora seja muito fácil apontar os dedos em várias equipes para não priorizar as correções de risco cibernético, a causa do atraso não é apenas até a complexidade das falhas. A escassez de desenvolvedores está borbulhando há algum tempo, e não é de surpreender que esteja tendo um efeito indireto na dívida de segurança.
A combinação do aumento da pressão para combater os riscos cibernéticos e a escassez de habilidades globais significa que os desenvolvedores estão no ponto de ruptura. Encontrar desenvolvedores ou especialistas em segurança com conhecimento de domínio e experiência em segurança é um desafio. Até encontrarmos uma maneira de fechar a lacuna de habilidades digitais, essa capacidade limitada atrasará ainda mais as linhas do tempo.
Corrigindo falhas mais rápidas
Mas nem tudo é desgraça e sombra. Existem maneiras pelas quais as organizações podem enfrentar o problema da dívida de segurança e recuperar sua resiliência cibernética. Ao ter visibilidade e integração adequada em todo o Ciclo de Vida de Desenvolvimento de Software (SDLC), as empresas agora podem evitar novas falhas por meio de falhas por meio automação e loops de feedback. Isso pode ser alcançado em escala com a IA, usando os recursos de IA existentes para aumentar a capacidade e a velocidade de fixação.
As próximas medidas de política cibernética definidas para serem introduzidas ainda este ano serão, por sua vez, críticas para a automação da remediação de falhas. A legislação como a lei de segurança cibernética e resiliência do Reino Unido será uma solução de longo prazo para ajudar a direcionar toda a cadeia de suprimentos sobre o que precisa ser corrigido, mantendo os maus atores responsáveis.
Talvez uma das soluções mais imediatas seja para as organizações revisarem as maneiras pelas quais elas abordam o buraco negro da dívida de segurança. Com falhas de terceiros sendo um dos maiores contribuintes para a dívida de segurança, é hora das empresas avaliarem corretamente os terceiros com os quais se envolvem.
Evitar aqueles repletos de falhas usando a análise de composição de software (SCA) pode reduzir grandes problemas entre os aplicativos. A verdadeira priorização também é essencial – se tudo é uma prioridade, nada é. Trabalhar nas falhas que são mais graves o mais rápido possível é uma vitória rápida para os desenvolvedores de cronogramas.
A segurança moderna de software é sobre remediar o risco real com o contexto e ter visibilidade em geral, saindo das ervas daninhas das especificidades da dívida de segurança e usando as tecnologias disponíveis para agir rapidamente. Com o ecossistema de software cada vez mais crescido em complexidade, nunca foi tão importante para as organizações explorar as soluções de IA e reexaminar como elas assumem esses ataques cibernéticos.
Apresentamos o melhor curso on -line de segurança cibernética.
Este artigo foi produzido como parte do canal especialista da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia hoje. As opiniões expressas aqui são as do autor e não são necessariamente as do TechRadarpro ou do Future Plc. Se você estiver interessado em contribuir, descubra mais aqui: https://www.techrar.com/news/submity-your-story-to-techrar-pro