יבמ הכריזה על סדרת מוצרים המאפשרים לעקוב אחר פגיעויות אבטחה בקוד התוכנה ובממשקים

יבמ (IBM) הכריזה אתמול (ד') על ארבעה קווי מוצרים, שיטפלו בהיבטים שונים של האבטחה, כך שזו תוטמע במערכות כבר משלב התכנון. קווי מוצרים אלה כוללים ניהול גישה, בדיקות אבטחה, שירותי הערכת קוד מקור ומסגרת הנדסית מאובטחת. ההכרזה התקיימה בכנס Innovate2010 שעורכת חטיבת רשיונל ביבמ.

"תפיסת האבטחה הקיימת לא עומדת במשימה. אנחנו מוצפים אמנם במערכות אבטחה, לרבות תוכנות אנטי וירוס, פיירוולים ומגוון רחב של סוגים, אך כולן לא מספקות את הסחורה. עובדה שבכל מערכת תוכנה מתגלות פגיעויות", אמר אל זולר, מנכ"ל חטיבת טיבולי (Tivoli) ביבמ, בשיחה עם אנשים ומחשבים. החטיבה שבראשותו שותפה ביחד עם חטיבת רשיונל בפיתוח התפיסה החדשה, הכוללת מתחתיה מוצרים רבים, ואשר מכונה "אבטחה משלבי התכנון" (Secure By Design).

לדברי זולר, "עד היום, כאשר מפתחי התוכנה סיימו את עבודתם והמערכת הועברה לשלב הבדיקות התגלו פגיעויות רבות, ובדרך כלל – מתקנים אותן לפני שהמוצר יוצא לשוק. עם זאת, במקרים רבים זה מאוחר מדי ויקר מדי, ולכן – לא תמיד מבצעים זאת. המצב המתהווה הוא שהעולם יהיה מורכב ממערכות של מערכות ויהיו טריליוני רכיבים מחוברים לרשת. הדבר ייצור פגיעויות מורכבות חדשות".

במסגרת קווי המוצרים החדשים מוצעת תוכנה שתאפשר לבצע הופטיצזיציה ותספק למשתמשים גישה בטוחה לשרתים, ליישומים ולסביבות העבודה – לרבות סביבת הענן. תוכנה נוספת תאפשר לעסקים לבצע בדיקות אוטומטיות של קוד המקור, במטרה לזהות פגיעויות פוטנציאליות וסיכוני אבטחה כבר בשלב מוקדם של פיתוח התוכנה. שמו של היישום המרכזי כאן הוא AppScan, והוא יודע לזהות פעילויות קידוד מסוכנות. כמו כן, השיקה יבמ שירות ייעוץ הבוחן את אבטחת היישומים אצל הלקוחות וממליץ על דרכים לתיקונה. השקה נוספת היא של מסגרת הנדסית מאובטחת – אבטיפוס לבנייה והטמעה של תוכנה מאובטחת.

"בכל יום אנחנו עדים לכניסה של טכנולוגיות ומודלים עסקיים חדשים", אמר זולר. "הארגונים חייבים ללמוד כיצד לנהל ביעילות את סיכוני האבטחה. המוצרים והשירותים החדשים הללו יאפשרו להם לספק אבטחה משולבת בתוך המארג של התוכנה."

דייויד גראנט, מנהל שיווק לתחום אבטחה ועמידה ברגולציות בחברה, אמר במסיבת העיתונאים שבמסגרתה הושקו קווי המוצרים החדשים, כי "תחום אבטחת התוכנה לא מצליח לספק את הסחורה. כל מה שעושים היום לא מספיק. כיום מחכים עד שהיישום מוכן, עושים לו בדיקה ואז מחפשים את הפגימויות ומתקנים אותן. זה תהליך יקר במיוחד. לכן, אנחנו מציעים לשלב את האבטחה תוך כדי תכנון המוצר".

בתשובה לשאלת אנשים ומחשבים אמר גרנט, כי חלק ניכר מהמחקר של תחום פגיעויות האבטחה נעשה במעבדות המחקר של יבמ בחיפה. הוא הוסיף, כי מעורבות מעבדות המחקר לא תיפסק אלא תימשך. החוקרים יעדכנו את המערכת מדי יום בפגימויות חדשות, והיא תיתן ללקוחות החברה מענה מיידי.