Các công ty triển khai DevSecOps giải quyết các lỗ hổng nhanh hơn

Xu hướng - Dự báo - Ngày đăng : 16:01, 09/11/2018

Một nghiên cứu mới từ CA Veracode cho thấy những dấu hiệu đầy hứa hẹn rằng DevSecOps đang tạo điều kiện cho an toàn và hiệu quả hơn của hệ thống, và cung cấp cái nhìn đầu tiên của công ty về việc phân tích sự tồn tại lỗ hổng, đo lường tuổi thọ của các lỗ hổng sau lần phát hiện đầu tiên.

Kết quả hình ảnh cho Companies implementing DevSecOps address vulnerabilities faster than others

Tình trạng an ninh phần mềm đang được cải thiện

Trong mọi ngành, các tổ chức đang xử lý một khối lượng lớn các lỗ hổng mở cần được giải quyết, và chúng đang cho thấy sự cải thiện trong việc thực hiện những hành động chống lại những gì họ tìm thấy. Theo báo cáo, 69% sai sót được phát hiện đã được xử lý thông qua việc khắc phục hoặc giảm nhẹ, tăng gần 12% kể từ báo cáo trước. Điều này cho thấy các tổ chức đang đạt được sức mạnh trong việc đóng các lỗ hổng mới được phát hiện, mà tin tặc thường tìm cách khai thác.

Mặc dù có sự tiến bộ này, báo cáo SOSS mới cũng cho thấy số lượng ứng dụng dễ bị tổn thương vẫn còn cao một cách đáng kinh ngạc và các thành phần nguồn mở tiếp tục thể hiện những rủi ro đáng kể cho các doanh nghiệp. Hơn 85 phần trăm tất cả các ứng dụng có chứa ít nhất một lỗ hổng sau lần quét đầu tiên, và hơn 13 phần trăm các ứng dụng có chứa ít nhất một lỗ hổng rất nghiêm trọng. Ngoài ra, kết quả quét mới nhất của tổ chức cho thấy rằng cứ một trong ba ứng dụng sẽ dễ bị tấn công thông qua các lỗ hổng nghiêm trọng hoặ cực kỳ nghiêm trọng.

Việc kiểm tra tỷ lệ sửa chữa trên 2 nghìn tỷ dòng mã cho thấy rằng các công ty phải đối mặt với rủi ro từ ứng dụng mở rộng do các lỗi còn tồn tại:

  • Hơn 70 phần trăm của tất cả các sai sót vẫn còn tồn tại trong vòng một tháng sau khi phát hiện và gần 55 phần trăm vẫn còn tồn tại sau ba tháng sau khi bị phát hiện.
  • 25% lỗ hổng nghiêm trọng và rất nghiêm trọng đã không được giải quyết trong vòng 290 ngày kể từ ngày phát hiện
  • Nhìn chung, 25% sai sót đã được sửa chữa trong vòng 21 ngày, trong khi 25% cuối cùng vẫn mở, sau một năm bị phát hiện.

Chris Eng, Phó chủ tịch nghiên cứu tại CA Veracode cho biết: “Các tổ chức bảo mật đã nhận ra rằng việc tích hợp thiết kế bảo mật và kiểm tra trực tiếp vào chu trình phân phối phần mềm liên tục là điều cần thiết để đạt được các nguyên tắc DevSecOps về sự cân bằng, linh hoạt và quản lý rủi ro. Cho đến nay, vẫn khó có thể xác định được lợi ích của phương pháp này, nhưng báo cáo mới nhất về an ninh phần mềm cung cấp bằng chứng rõ ràng rằng các tổ chức thực hiện quét thường xuyên hơn đang sửa lỗi nhanh hơn. Những cải tiến gia tăng này theo thời gian sẽ dẫn đến một lợi thế đáng kể trong khả năng cạnh tranh trên thị trường và giảm rất nhiều rủi ro liên quan đến lỗ hổng".

Dữ liệu hỗ trợ thực hành DevSecOps

Trong năm thứ ba liên tiếp thu thập các dữ liệu về việc thực hành DevSecOps, phân tích SOSS cho thấy mối tương quan chặt chẽ giữa tỷ lệ quét bảo mật cao và rủi ro ứng dụng dài hạn thấp, trình bày bằng chứng rõ ràng về hiệu quả của DevSecOps. Dữ liệu của CA Veracode về sự tồn tại của lỗ hổng cho thấy rằng các tổ chức có chương trình đã thực hiện thực hành DevSecOps đã vượt trội so với các đối thủ của họ trong việc nhanh chóng giải quyết các lỗi.

Các chương trình DevSecOps hoạt động mạnh nhất khắc phục lỗi nhanh hơn 11,5 lần so với tổ chức thông thường, do việc kiểm tra bảo mật liên tục trong quá trình phân phối phần mềm, phần lớn là kết quả của việc quét mã tăng lên. Các dữ liệu cho thấy một mối tương quan mạnh mẽ giữa số lần tổ chức thực hiện quét trong năm và tốc độ của họ trong việc giải quyết các lỗ hổng của mình.

Các thành phần nguồn mở tiếp tục cản trở các doanh nghiệp

Trong các báo cáo SOSS trước đó, dữ liệu đã chỉ ra rằng các thành phần phần mềm nguồn mở dễ bị tấn công tràn lan trong hầu hết các phần mềm. Báo cáo SOSS hiện tại nhận thấy rằng hầu hết các ứng dụng vẫn tràn đầy các thành phần thiếu sót, mặc dù đã có một số cải tiến trên Java. Trong khi năm ngoái khoảng 88% các ứng dụng Java có ít nhất một lỗ hổng trong một thành phần, nó đã giảm xuống còn hơn 77% trong báo cáo năm nay.

Khi các tổ chức giải quyết các thành phần bị lỗi, họ không nên xem xét các lỗ hổng mở trong các thư viện và khuôn khổ, mà còn phải xem cách chúng sử dụng các thành phần đó. Bằng cách hiểu không chỉ là trạng thái của thành phần, nhưng có hay không một phương pháp dễ bị tổn thương, các tổ chức có thể xác định nguy cơ thành phần của chúng và ưu tiên các bản sửa lỗi dựa trên việc giảm thiểu các rủi ro nguy hiểm nhất của các thành phần.

Sự khác biệt trong khu vực về sự tồn tại của lỗ hổng

Mặc dù dữ liệu từ các tổ chức của Hoa Kỳ thống trị kích thước mẫu, báo cáo của năm nay cung cấp thông tin chi tiết về sự khác biệt theo khu vực về cách giải quyết lỗ hổng một cách nhanh chóng. Các công ty ở Châu Á Thái Bình Dương (APAC) có các biện pháp khắc phục nhanh nhất, đóng 25% lỗ hổng trong khoảng 8 ngày, tiếp theo là 22 ngày đối với châu Mỹ và 28 ngày đối với những người ở châu Âu và Trung Đông (EMEA).

Tuy nhiên, các công ty ở Mỹ và châu Mỹ đã bắt kịp, giải quyết 75% sai sót trong 413 ngày, vượt xa những công ty khác trong khối APAC và EMEA. Trên thực tế, phải mất gấp đôi thời gian trung bình cho các tổ chức EMEA để đóng ba phần tư số lỗ hổng mở của họ. Dữ liệu cho thấy các công ty EMEA tụt lại phía sau khá xa. Thậm chí, 25% các lỗ hổng trong các tổ chức trong EMEA còn tồn tại hơn hai năm rưỡi sau khi bị phát hiện.

Trương Khánh Hợp