Kryzys długu bezpieczeństwa i drastyczny wzrost luk wysokiego ryzyka

W szybko rozwijającym się cyfrowym świecie, pozostawanie w tyle z łataniem luk w oprogramowaniu nie wchodzi już w grę. Tempo powstawania błędów zdecydowanie przewyższa obecne możliwości ich naprawy. Pomimo niewielkiego wzrostu wskaźników napraw, fala długu bezpieczeństwa wciąż rośnie.

„Droga naprzód nie polega na coraz szybszym biegu po bieżni niekończących się luk. Chodzi o dokonywanie świadomych, inteligentnych wyborów dotyczących tego, jakie ryzyko można zaakceptować, a jakie należy zneutralizować.”

Kryzys długu bezpieczeństwa się nasila

Dług bezpieczeństwa, definiowany jako znane luki pozostawione bez naprawy przez ponad rok, drastycznie wzrósł. Nie jest to odległy problem; to obecna rzeczywistość dla 82% organizacji, co stanowi wzrost o 11% w ciągu jednego roku. Zaległości rosną szybciej, niż możliwości zespołów są w stanie je eliminować.

Krytyczny dług w liczbach

• Wpływ na organizacje: 60% organizacji jest dotkniętych krytycznym długiem bezpieczeństwa, co stanowi gwałtowny wzrost o 20% w porównaniu z rokiem poprzednim.
• Gwałtowny wzrost wysokiego ryzyka: Podatności oceniane zarówno jako wysoce krytyczne, jak i wysoce możliwe do wykorzystania, odnotowały względny wzrost o 36%.
• Dług na poziomie aplikacji: 49% aplikacji jest obecnie obciążonych długiem bezpieczeństwa.

Wykrywanie a naprawa

Chociaż organizacje skutecznie znajdują usterki i poprawiają wskaźniki wykrywania, dane ujawniają ciągłe trudności z ich wystarczająco szybką naprawą, aby zamknąć powiększające się okno ekspozycji na ataki.

Postępy w wykrywaniu

• Rozpowszechnienie luk: Ogólne występowanie luk we wszystkich typach skanowania spadło do 78%.
• Szybkość naprawy: Okres półtrwania dla naprawy błędów we wszystkich typach skanowania nieznacznie się poprawił do 243 dni.

Trudności w naprawie

• Wskaźnik niezgodności OWASP: Odsetek aplikacji niespełniających podstawowych standardów OWASP Top 10 wzrósł do 50%.
• Naprawy kodu zewnętrznego: Okres półtrwania dla naprawy luk w komponentach firm trzecich pozostaje wyjątkowo wysoki i wynosi 358 dni.
• Wyzwania związane z firmami trzecimi: Kod firm zewnętrznych nadal dominuje w krytycznym długu bezpieczeństwa, stanowiąc 66% najbardziej niebezpiecznych, długotrwałych podatności.

Praktyczna strategia: Prioritize, protect, prove

Aby sprostać tym wyzwaniom, organizacje muszą przyjąć nowe podejście. Dążenie do naprawy każdej luki to wyścig, którego nie można wygrać. Wszystko zaczyna się od zidentyfikowania kluczowych zasobów („crown jewels”) i skoncentrowania zasobów bezpieczeństwa na tych najbardziej krytycznych obszarach. Narzędzia wspomagane przez sztuczną inteligencję mogą pomóc zwiększyć miesięczne możliwości napraw i skutecznie poradzić sobie z długim ogonem powtarzalnych luk w zabezpieczeniach.