0
0
A Veracode divulgou novas descobertas que mostram que o setor público tem a maior proporção de falhas de segurança em suas aplicações e mantém algumas das taxas de correção mais baixas e mais lentas em comparação com outros setores da indústria.
A análise dos dados coletados de 20 milhões de varreduras em meio milhão de aplicações revelou esses achados específicos do setor.
“Os formuladores e líderes de políticas do setor público reconhecem que a tecnologia datada e vastas quantidades de dados confidenciais fazem das aplicações governamentais um alvo principal para atores mal-intencionados. É por isso que a Casa Branca e o Congresso estão trabalhando juntos para atualizar as regulamentações que regem a conformidade com a segurança cibernética.
Na esteira da Ordem Executiva de maio de 2021 para melhorar a segurança cibernética do país e proteger as redes do governo federal, o Escritório de Gestão e Orçamento dos EUA, o Departamento de Defesa e a Casa Branca emitiram quatro memorandos abordando a necessidade de adotar princípios de segurança cibernética de confiança zero e fortalecer a segurança da cadeia de fornecimento de software. Nossa pesquisa confirma essa necessidade”, disse Chris Eng, diretor de pesquisa da Veracode.
Sem tempo a perder: corrigir mais falhas mais rápido
A pesquisa constatou que, em comparação com outras indústrias, o setor público tem a maior proporção de aplicações com falhas de segurança, com 82%. Quando se trata da rapidez com que as organizações corriem falhas uma vez detectadas, o setor público registra os tempos mais lentos em média — cerca de duas vezes mais lentos do que outros setores.
A pesquisa também revelou que 60% das falhas nas bibliotecas terceirizadas do setor público permanecem não fixadas após dois anos, o que é o dobro do de outros setores e atrasa a média da indústria cruzada em mais de 15 meses.
Finalmente, com apenas uma taxa de correção de 22%, o setor público é desafiado a impedir que os ataques da cadeia de fornecimento de software impactem aplicações críticas de estados, locais e educacionais.
Eng continuou: “As organizações deste setor devem agir com urgência. Eles podem melhorar significativamente suas práticas seguras de DevOps usando vários tipos de análise de digitalização — estática, dinâmica e composição de software — para obter uma imagem mais completa da segurança de um aplicativo, o que, por sua vez, os ajudará a melhorar os tempos de remediação, cumprir as regulamentações do setor e fazer o caso para aumentar os orçamentos de segurança dos aplicativos.”
Falhas de alta gravidade são prioridade um
Demonstrando uma tendência positiva, o setor público se destaca muito quando se trata de lidar com falhas de alta gravidade. A pesquisa revela que as entidades governamentais fizeram grandes avanços para lidar com falhas de alta gravidade, que aparecem em apenas 16% das aplicações. De fato, o número de falhas de alta gravidade diminuiu 30% apenas no último ano, sugerindo que os desenvolvedores do setor reconhecem cada vez mais a importância de priorizar falhas que apresentam os maiores riscos. Isso é encorajador e pode refletir a crescente compreensão das novas diretrizes de segurança de software, como as descritas na Ordem Executiva sobre Segurança Cibernética dos EUA e na Estratégia de Segurança Cibernética do Governo do Reino Unido 2022 – 2030.
Eng encerrou: “Reconhecendo que o tempo é essencial, os líderes do setor público estão começando a estabelecer cronogramas. Por exemplo, em “Movendo o Governo dos EUA para os Princípios de Segurança Cibernética da Zero Trust“, Shalanda Young estabeleceu um prazo de 30 de setembro de 2024 para todas as agências federais dos EUA atenderem a padrões específicos de segurança cibernética. Acreditamos que o progresso feito contra falhas de alta segurança é um grande ponto de partida e apoiamos todas as agências do setor público que buscam obter melhor controle sobre suas cadeias de fornecimento de software.”
FONTE: HELPNET SECURITY