المسؤولية عن تأمين تطبيقات المؤسسة قد تتحرك إلى أسفل دورة حياة تطوير ، لسبب وجيه . ليس فقط أنه يجعل الشركة أكثر أمنا ، ولكن أيضا يوفر الوقت والمال .
على سبيل المثال ، انخفض متوسط الوقت لإصلاح ثغرة أمنية في الحل الأمني تطبيق آي بي إم من 20 ساعة إلى 30 دقيقة ، وفقا ل دراسة نشرت مؤسسة فورستر لل استشارات الشهر الماضي .
أيضا ، في وقت سابق العثور على البق وليس آجلا في عملية التنمية أدى إلى وفورات في التكاليف 90 في المئة ، وأشارت الدراسة.
إذا كان الأمن على مستوى خلق تطبيق تسير لكسب الجر، ومع ذلك، فإنه سيحتاج الى تغيير في الموقف من جانب المطورين.
"-، وانهم المدفوعة لشحن كود المطورين لا يعتقدون أصلا حول الأمن" وقال رامي السعيد، الرئيس التنفيذي لشركة شبكات استخلاص.
واضاف "لقد كنا نقول أن المطورين يجب كتابة رمز جيد على مدى السنوات ال 20 الماضية، ولكن لا يحدث أي شيء"، وقال TechNewsWorld.
وعلاوة على ذلك، حتى إذا كانت منظمة يمكن الحصول على المطورين لكتابة رمز أكثر أمنا، وانها لا تزال تحت رحمة المبرمجون الذين هم خارج سيطرتها.
"نحن نعيش في بيئة البرمجيات أكثر تعقيدا بكثير من أي وقت مضى. وهناك الكثير من الأدوات مفتوحة المصدر تستخدم. نحن نستخدم الكثير من البرامج في المكونات. نحن نستخدم الكثير من الاشياء التي نحن لا تكتب ، وأوضح السعيد رمز ل".
"لا يمكنك أن تقول،" سنقوم كتابة التعليمات البرمجية بشكل أفضل وتأمين حدودنا، لأن كنت تعتمد على شبكة أكبر بكثير مما كنت يمكن أن يكتب، "مشيرا إلى.
تعلم الآلة
على سبيل المثال، فإن الأدوات التي يمكن استخدامها تعلم آلة لكشف العيوب وإصلاحها دون تدخل بشري تخفيف العبء على المطورين الذين يجدون الأمن اختبار روتيني.
سوف تزوير رمز أكثر أمانا خلال مرحلة تطوير التطبيقات تكون أكثر جاذبية للمحاربين كود إذا الأدوات انهم نظرا للقيام بذلك هي أسهل للاستخدام.
"المطورون يجب أن يكون لديك شيء أن يتحقق رمز لمشاكل أمنية مثل أعمال التدقيق الإملائي في Microsoft Word،" اقترح شاندرا رانجان، نائب الرئيس لشؤون التسويق في HP المؤسسة.
وقال "عندما يتم إدخال هذه الأنظمة تعلم الآلة، واحد من أول استخداماتها يكون اختبار البرمجيات"، وقال أمول Sarwate، مدير مختبرات الضعف في Qualys.
"، ببطء، والثقة في الزيادات النظم، سيتم نشرهم على البرامج بعد إصداره لتوفير المزيد من الحماية"، وقال TechNewsWorld.
التدقيق الإملائي للقانون
هناك مزايا لتحريك الممارسات الأمنية أقرب إلى بداية دورة تطوير البرمجيات. "، في وقت سابق أن تفعل ذلك، وأكثر فعالية سوف تكون، وأنها ستكون أرخص لإنتاج البرمجيات" وقال رانجان تربية الصحية والبدنية وTechNewsWorld.
من خلال أتمتة فحص ثغرات أمنية الرمز، أخطاء يمكن العثور عليها في الوقت المناسب.
واضاف "اذا كنت تجد مشاكل عند البرنامج يعمل بالفعل، وأنت ستكون لدينا صعوبة في تحديد لهم، لأنك تجاوزت معظم مراحل دورة حياة" قالت اسرائيل باراك، CISO من Cybereason.
"، وبالعودة الى لوحة الرسم ستكون مكلفة للغاية"، وقال TechNewsWorld.
العامل الإنساني
في حين الترميز أكثر أمنا وحماية أفضل التطبيقات من الهجوم، لديها أيضا القيود.
"نقاط الضعف كنت تعتقد أنك قد تكون محمية برنامجك (ضد) على نطاق واسع واحدة قد تظهر مشاكل عند زيادة حجم بأمر من حجم" قال موهان TechNewsWorld.
"طالما كنت قد حصلت على البشر تصميم المنطق، كتابة البرمجيات ونظم وبناء، وأنت تسير أن يكون الضعف"، وقال رام موهان، الرئيس التنفيذي للتكنولوجيا في أفيلياس.
ما هو أكثر من ذلك، قد حماية الضعف لا مقياس.
واضاف "هذا سيأتي مع IOT" واضاف.
مستويات متعددة من الحماية
وأضاف أن العملية يجب أن تبدأ مع بنية التطبيق والاستمرار من خلال تصميم وضمان الجودة ومرحلة الاختبار إلى مرحلة النشر. ومع ذلك، يحتاج الأمن أيضا أن تطبق على البنية التحتية التي سيتم نشر التطبيق.
اختبار الأمن التطبيق هو جزء هام من تأمين المؤسسة، ولكن واحدة فقط جزءا من الحل.
"واختبار الأمن هو جزء من عملية أكثر اكتمالا من دورة حياة تطوير البرمجيات آمنة" وقال باراك Cyberreason ل.
"أنت لا يمكن أبدا أن تغطي جميع الثغرات تطبيق" وقال باراك، "حتى يكون لديك نظام في مكان للكشف عندما يتم تنفيذ الاستخدام غير طبيعي من البنية التحتية للتطبيقات."
اختراق يوميات
أغسطس 8. نيوكيرك المنتجات، صانع بطاقات الهوية لشركات التأمين، عانت البيانات خرق وضع خطر المعلومات الشخصية من نصف مليون عميل من مقدمي الرعاية الصحية CDPHP و 70،000 عملاء BlueShield من شمال شرق نيويورك، تقارير ألباني بيزنس ريفيو.
أغسطس 9. U.S.Office من مانجمنت الموظفين تعلن وديفيد دي فريس الانضمام إلى الوكالة كما CIO الدائم. دي فريس هو نائب الرئيسي حاليا CIO في وزارة الدفاع الامريكية. في العام الماضي، كانت قد سرقت من المعلومات ذات الصلة إلى 22 مليون شخص من OPM.
أغسطس 10. توفير توريد وممارسة الأعمال التجارية كما EZcontactsUSA.com، يوافق على دفع ولاية نيويورك 100،000 $ كعقوبة لافتقاره الممارسات الأمنية، مما أدى إلى خرق البيانات التي يحتمل أن يتعرض 25000 أرقام بطاقات الائتمان ومعلومات حامل البطاقة الأخرى.
أغسطس 10. المحامي الرعاية الصحية، ومقرها في ولاية إيلينوي، توافق على دفع 5.5 ملايين $ جزاء لgovernemnt الاتحادية لعدم "إجراء تقييم دقيق وشامل للمخاطر ونقاط الضعف المحتملة" للمعلومات الصحية المحمية الإلكترونية الخاصة بها.
تقارير أغسطس 10. LeakedSource.com المنتديات لعبة في DOTA2 تم اختراق وما يقرب من مليوني السجلات التي تحتوي على معلومات المستخدم سرقت.
يؤكد أغسطس 10. أوراكل أن أكثر من 300،000 تسجيل النقد المباعة من قبل الشركة في جميع أنحاء العالم تتأثر خرق البيانات في وحدة التجزئة MICROS.
أغسطس 12. حكيم، وهو مزود المملكة المتحدة لخدمات المحاسبة والرواتب، بإعلام نحو 200 الزبائن أن معلوماتهم السرية، بما في ذلك تفاصيل الحساب المصرفي الموظف ومعلومات الراتب، قد تأثر سلبا في خرق البيانات.
أحداث الأمن القادمة
الطعون أبريل 12. أبل الحاكم من قبل قاضي المحكمة الجزئية الاتحادية التي تسمح دعوى قضائية ضد شركة لتوزيع التطبيق مسار، الذي اكتسب معلومات جهات الاتصال من المستخدمين دون موافقتهم.
أغسطس 23. Sqrrl وHPE: التهديد الصيد لArcSight المستخدمين. 14:00 ET. الويبينار برعاية Sqrrl. مجانا مع تسجيل.
أغسطس 25. قمة الأمن السيبراني شيكاغو. حياة ريجنسي شيكاغو، 151 E. فاكر محرك، شيكاغو. تسجيل: 250 $.
07-08 سبتمبر الدولية سايبر الأمن والمخابرات المؤتمر. كلية أونتاريو للإدارة والتكنولوجيا، 510-240 دنكان طريق مطحنة، تورونتو، أونتاريو، كندا. تسجيل: الطلاب، 400،01 $. الآخرين، 700 $.
سبتمبر 7. FTC سقوط سلسلة التكنولوجيا: الفدية. 13:00 مركز الدستور، 400 7TH سانت SW، واشنطن العاصمة الحرة.
سبتمبر 10. B-الجانبين Aug.a. J. هارولد هاريسون MD، التعليم العموم، 1301 قانون الجمهورية دنت الجادة، Aug.a، جورجيا. التذاكر: $ 20.
سبتمبر 8. SecureWorld سينسيناتي. مركز المؤتمرات شارونفيل، 11355 تشيستر طريق، سينسيناتي، أوهايو. تسجيل: دخول المؤتمر، 195 $. SecureWorld زائد، 625 $. المعارض وجلسات مفتوحة، 30 $.
سبتمبر 15. B-الجانبين سانت جون. فندق كابيتال، 208 Kenmount طريق، سانت جون، نيوفاوندلاند، كندا. مجانا مع تسجيل.
14-15 سبتمبر SecureWorld ديترويت. مؤتمر فورد للسيارات ومركز الأحداث، 1151 طريق قرية، مدينة ديربورن بولاية ميشيغان. تسجيل: دخول المؤتمر، 325 $. SecureWorld بالاضافة الى ذلك، 725 $. المعارض وجلسات مفتوحة، 30 $.
سبتمبر 17. B-الجانبين سانت لويس. الملالي المزار، سانت لويس بولاية ميسوري. حر.
26-28 سبتمبر مؤتمر الأمن السيبراني المساعدة نيوبورت. مركز بيل ومحكمة مغرة، جامعة المرهم ريجينا، نيوبورت، رود ايلاند. تسجيل: قبل 26 يوليو 1200 $. بعد 25 يوليو 1600 $.
19-21 سبتمبر Iovation يعرض قوة الاحتيال "سريع إلى الأمام". بورتلاند مخزن الأسلحة، 128 NW الحادي عشر افي، بورتلاند، أوريغون. التذاكر: 495 $.
قمة الأمن السيبراني سبتمبر 21. نيويورك. فندق جراند حياة نيويورك، 109 E. سانت 42، نيويورك، نيويورك. تسجيل: 250 $.
27-28 سبتمبر SecureWorld دالاس. مركز بلانو، 2000 E. الربيع كريك بي كي دبليو واي.، بلانو، تكساس. تسجيل: دخول المؤتمر، 325 $. SecureWorld بالاضافة الى ذلك، 725 $. المعارض وجلسات مفتوحة، 30 $.
27-28 سبتمبر SecureWorld دالاس. مركز بلانو، 2000 E. الربيع كريك بي كي دبليو واي.، بلانو، تكساس. تسجيل: دخول المؤتمر، 325 $. SecureWorld بالاضافة الى ذلك، 725 $. المعارض وجلسات مفتوحة، 30 $.
29-30 سبتمبر B-الجانبين أوتاوا. مركز RA، 2451 محرك ريفرسايد، أوتاوا، كندا. مجانا مع تسجيل.
11-14 أكتوبر OWASP AppSec الولايات المتحدة الأمريكية. النهضة ماريوت، 999 9 شارع NW، واشنطن، العاصمة التسجيل: غير عضو، 750 $. طالب، 80 $.
05-06 أكتوبر. SecureWorld دنفر. مركز المؤتمرات كولورادو، 700 شارع 14، ودنفر. تسجيل: دخول المؤتمر، 325 $. SecureWorld بالاضافة الى ذلك، 725 $. المعارض وجلسات مفتوحة، 30 $.
أكتوبر 18. أمن تكنولوجيا المعلومات وإدارة الخصوصية في الغيمة. 13:00 ET. الويبينار يديرها ريبيكا هيرولد، واستاذ الخصوصية. مجانا مع تسجيل.
17-19 أكتوبر CSX أمريكا الشمالية. كوزموبوليتان، 3708 لاس فيغاس الجادة. South، لاس فيغاس. تسجيل: قبل 11 أغسطس، عضو ISACA، 1550 $. غير عضو، 1750 $. قبل 13 أكتوبر، عضو، 1750 $. غير عضو، 1950 $. الموقع، عضو، 1950 $. غير عضو، 2150 $.
أكتوبر 20. قمة الأمن السيبراني لوس انجليس. فندق Loews سانتا مونيكا بيتش، 1700 المحيط افي، سانتا مونيكا، كاليفورنيا. تسجيل: 250 $.
18-19 أكتوبر مؤتمر الأمن Edge2016. فندق كراون بلازا، 401 دبليو قمة تلة، دفع على نوكسفيل بولاية تنيسي. تسجيل: قبل 15 أغسطس، 250 $. بعد 15 أغسطس، $ 300؛ المعلمين والطلبة، 99 $.
18-19 أكتوبر SecureWorld سانت لويس. مجمع أميركا مركز المؤتمرات، 701 اتفاقية بلازا، سانت لويس. تسجيل: دخول المؤتمر، 325 $. SecureWorld بالاضافة الى ذلك، 725 $. المعارض وجلسات مفتوحة، 30 $.
01-04 نوفمبر قبعة سوداء أوروبا. مركز أعمال التصميم، 52 شارع العليا، لندن، المملكة المتحدة. تسجيل: قبل 3 سبتمبر 1199 ليرة مع الضريبة على القيمة المضافة. قبل 29 أكتوبر، 1559 جنيهات مع ضريبة القيمة المضافة. بعد 28 أكتوبر، 1799 جنيهات مع ضريبة القيمة المضافة.
أكتوبر 27. منطقة خليج SecureWorld. سان خوسيه ماريوت، 301 س سانت السوق، سان خوسيه، كاليفورنيا. تسجيل: دخول المؤتمر، 195 $. SecureWorld بالاضافة الى ذلك، 625 $. المعارض وجلسات مفتوحة، 30 $.
نوفمبر 9-10. SecureWorld سياتل. مركز Meydenbauer، 11100 سانت NE 6، بلفيو، واشنطن. تسجيل: دخول المؤتمر، 325 $. SecureWorld بالاضافة الى ذلك، 725 $. المعارض وجلسات مفتوحة، 30 $.
جميل يا اخي
RépondreSupprimer