"היעד הוא לאבטח את הארגון כבר משלב פיתוח האפליקציות"

"אחד האתגרים המרכזיים בעולם אבטחת המידע הוא לא בהכרח זיהוי הפגיעויות המגיעות מבחוץ: אנו רואים מצבים רבים בהם ארגונים נדרשים לזהות פגיעויות כבר בשלב כתיבת התוכנה כחלק ממימוש תפיסת Security by Design. היעד הוא לאבטח את הארגון כבר משלב פיתוח האפליקציות", כך אמר מאיר אדלר, סמנכ"ל הטכנולוגיות של CA ישראל ב-NessPRO.

אדלר דיבר בכנס Cyber for C-Level 2018, אותו ערכה NessPRO, חטיבת מוצרי התוכנה של נס. הכנס, בהפקת אנשים ומחשבים, התקיים אתמול (ב') באולם האירועים East בתל אביב בהשתתפות יותר מ-100 אנשי אבטחת מידע והגנת הסייבר. את הכנס הנחה דוד ביסמוט, מנהל פעילות סייבר בארגונים ב-NessPRO.

"מימוש תפיסת אבטחה זו", אמר אדלר, "באה לידי ביטוי בכך שיש לערוך סריקה של הקוד המפותח לזיהוי פגיעויות ולעמידה בתקנים כבר בשלבים המוקדמים של תהליך הפיתוח, DevSecOps. משמעות נוספת נובעת מהעובדה שחלק גדול משורות הקוד הנכתבות כיום נשענות על קוד פתוח. מצב זה חושף אותנו לפגיעויות שאין לנו כל שליטה עליהן. לכן, יש לסרוק גם שורות קוד המגיעות לארגון מבחוץ". בנוסף, ציין, "גם לאחר שהקוד נכתב, ובהנחה שהוא נמצא תקין, עדיין יש לבדוק אותו בזמן אמת או בייצור".

אדלר ציטט מחקר שערכה החברה ולפיו רק 52% מהמפתחים המשתמשים ברכיבים מסחריים או ברכיבי קוד פתוח באפליקציות שלהם מעדכנים רכיבים אלה, כשיש הכרזה על נקודות תורפה חדשות בתחום אבטחת המידע. לדבריו, "נתון זה מדגיש את חוסר המודעות של ארגונים לאבטחת מידע ומציב ארגונים בסיכון".

"לעמוד בקצב הדרישות של כלכלת האפליקציות"

לדברי אדלר, "תהליכי פיתוח תוכנה, כגון DevSecOps, מסייעים לשפר את אבטחת המידע של הקוד שכותבים המפתחים, אולם בתהליכי הפיתוח יש חשיבות למהירות וליעילות כדי לעמוד בקצב הדרישות של כלכלת האפליקציות. בשל כך, מפתחים מסתמכים על רכיבים ה-'שואלים' תכונות ופונקציונליות מפרויקטים קיימים ומספריות".

הוא ציטט נתון נוסף מהמחקר, שלפיו 83% מהארגונים משתמשים ברכיבים מסחריים, או רכיבי קוד פתוח, 73 רכיבים בממוצע באפליקציה. נתון נוסף העולה מהמחקר, אמר, "הוא שלמרות ממוצע של 71 נקודות תורפה באפליקציה הכוללת שימוש ברכיבי צד שלישי, רק 23% מהנשאלים דיווחו על בדיקות לאיתור נקודות תורפה ברכיבים – בכל שחרור גרסה. ייתכן שזה בשל העובדה שרק 71% מהארגונים דיווחו שיש להם תכנית פורמלית לאבטחת מידע של אפליקציות (AppSec)".

במרץ 2017, אמר אדלר, CA רכשה את Veracode, שפועלת בעולם אבטחת היישומים, תמורת 614 מיליון דולר במזומן. לדבריו, "בשל הרכישה, הרחבנו את ההיצע שלנו לעולם אבטחת היישומים ואת פעילותנו בתחום ה-DevOps. יש לנו טכנולוגיה לזיהוי ולהפחתת הסיכונים כבר בשלב המוקדם של תהליך הפיתוח, עם בדיקות לאבטחת יישומים".

CA Veracode, המהווה חלק מפעילות אבטחת המידע של החברה, "מספקת פלטפורמה אחידה בענן אשר מאפשרת סריקה סטטית של הקוד לטובת זיהוי פגיעויות ולעמידה בתקני אבטחת מידע. בנוסף, היא עורכת סריקה של קוד פתוח לצד סריקה דינמית של הקוד שנכתב ונמצא בייצור. הפלטפורמה אף מספקת יכולות של לימוד והדרכה לפי דרישה", ציין.

אלר סיכם ואמר כי "על פי מחקר של גרטנר (Gartner), עד 2019 יותר ממחצית היוזמות של ארגונים בעולם ה-DevOps יהיו בתחום מיכון הבדיקות של אבטחת היישומים. זאת, בעוד שב-2016 רק פחות מ-10% מהיוזמות בעולם זה היו בתחום. אנו חשים בדרישה הולכת וגדלה בשוק הישראלי לפתרון אבטחה שכזה ומניחים כי בעתיד הלא רחוק גם הרגולטור ינפיק דרישה לעמידה בתקנים לכלל שורות הקוד המפותחות בארגונים. הטמעת האבטחה לתוך מחזור החיים של פיתוח תוכנה והפיכתו לחלק אוטומטי מתהליך המסירה הרציף תביא לכך שהמפתחים יוכלו לכתוב קוד ללא בעיות של גישה ידנית ומפוצלת לתחום האבטחה".