TechRadar Pro न्यूजलेटरमा साइन अप गर्नुहोस् सबै शीर्ष समाचारहरू, राय, सुविधाहरू र तपाईंको व्यवसायलाई सफल हुन आवश्यक मार्गदर्शन प्राप्त गर्न! ड्यासबोर्डमा उत्पादक, तर एकै समयमा एकल शोषणयोग्य निर्भरता महिनौंसम्म अछुतो रहन सक्छ, एक महत्वपूर्ण, समाधान नगरिएको सुरक्षा जोखिम प्रस्तुत गर्दछ।
बोर्ड सदस्यहरू र C-suite ले KPI संख्याहरू बढ्दै देख्छन् र स्वचालित रूपमा बलियो सुरक्षा मान्छन् जब, वास्तवमा, यो एकदम विपरीत हुन सक्छ। यो धमिलो मापन रेखाले सुरक्षा टोलीहरूले सुरक्षा जोखिमलाई कसरी सम्बोधन गरिरहेका छन् भन्ने वास्तविकतालाई तिरस्कृत गर्दछ।
यी उद्योग चौडा ट्रोपहरूले अनजाने रूपमा आवाज उत्पन्न गर्न तर वास्तविक जोखिम घटाउन सुरक्षा टोलीहरूलाई पुरस्कृत गरिरहेका छन्। र विगत पाँच वर्षमा 171 दिनबाट 252 दिनमा बढ्दै सुरक्षा त्रुटिहरूको लागि औसत फिक्स समयको साथ, सुधार गर्न ढिलाइले सुरक्षा जोखिमहरू चुपचाप ब्याकलग गर्दछ। class=”clear-both pb-0 pt-2 mb-4″>
अब के पढ्ने
सप्लाई चेन र पाइपलाइनको गहिराइमा लुकेका ती कमजोरीहरू एक टिकिङ टाइम बम हुन्।
सुरक्षा टोलीहरू पहिल्यै फैलिएका छन् र कमजोरीहरू फेला पार्न र समाधान गर्ने क्षमता पत्ता लगाउन संघर्ष गरिरहेका छन्, यी पुरानो मेट्रिकहरूले एउटा संस्कृतिलाई प्रोत्साहन दिन्छ जहाँ सुरक्षा टोलीहरू र CISOs को “पुरानो कानुन” नदेखिएसम्म। शोषण – कुन बिन्दुमा, यो धेरै ढिलो हुन सक्छ।
पाइपलाइन सम्झौता र निर्भरता जोखिमले पोइन्ट-इन-टाइम स्क्यानिङलाई अप्रचलित बनाएको छ
प्राविधिक विकासको तीव्र गति र सफल साइबर हमलाहरूमा स्पष्ट वृद्धिसँगै, पोइन्ट-इन-टाइम स्क्यानिङ अब अपर्याप्त छ। यसले महत्वपूर्ण समय कारकहरूलाई बेवास्ता गर्छ—जस्तै सुधार गर्नको लागि औसत समय वा आक्रमणकारीले पत्ता नलागेको अवधि—जसलाई आक्रमणकारीहरूले शोषण गर्ने ठ्याक्कै हो।
आधुनिक आक्रमणहरू स्क्यानहरू बीचको अन्तरमा हुन्छन्, सुरक्षा स्न्यापशटहरूले गतिशील लक्ष्यहरू समात्न असमर्थ हुन्छन्। CI/CD पाइपलाइनहरूको लागि, तिनीहरू अप्रचलित छन्। कोड दिनमा धेरै पटक परिवर्तन हुन्छ र निर्भरताहरू स्वचालित रूपमा अपडेट हुन्छन्।
र आजकल, आक्रमणकारीले स्क्यानबाट बच्न पनि आवश्यक पर्दैन। तिनीहरू केवल अर्को निर्माण, प्रतिबद्धता, वा निर्भरता पुलको लागि पर्खन्छन् र, स्क्यान रिपोर्ट पढ्दासम्म, यसले मूल्याङ्कन गरेको वातावरण अब अवस्थित छैन।
स्क्यानरहरूले परम्परागत रूपमा स्रोत वा बाइनरीहरू निरीक्षण गर्छन्, तर निर्माण प्रक्रियाको भित्री कार्यहरू होइन, जसको अर्थ स्क्यान पारित भएपछि खराब निर्माण चरणले कोड इन्जेक्ट गर्न सक्छ। संस्थाहरू (अमेरिकी सरकारी एजेन्सीहरू सहित) 2020 मा फिर्ता, सफ्टवेयर अपडेटहरूमा मालिसियस कोड इन्जेक्ट गर्दै जुन त्यसपछि अप्रत्याशित ग्राहकहरू।
यदि निर्माण पहिले नै विषाक्त छ भने, स्क्यान अप्रासंगिक छ।
के CISOs लाई यो वर्ष
जसरी साइबर जोखिम बढ्दै जान्छ र ह्याकरहरू अझ परिष्कृत हुन्छन्, जोखिमको मूल्याङ्कन गर्न र एप्लिकेशन सुरक्षा CISOs को लागि एक माइनफिल्ड बनिरहेको छ। उनीहरूलाई मेट्रिक्स चाहिन्छ र सुरक्षा टोलीहरूले वास्तविक अनुप्रयोग र आपूर्ति-श्रृंखला सुरक्षा जोखिमलाई राम्रोसँग प्रतिबिम्बित गर्न प्राथमिकता दिन सक्छन्।
यसमा शोषणयोग्य त्रुटिहरूको ब्याकलग घटाउने, उत्पादनमा गम्भीर समस्याहरू समाधान गर्न लाग्ने समय, र फिक्सहरूले वास्तवमा स्क्यान भन्दा पनि काम गर्छ भन्ने प्रमाण समावेश गर्दछ। कम मापनबाट धेरै मापनमा परिवर्तन होइन। यो सुरक्षा गतिविधि गणना गर्ने देखि साँचो एक्सपोजर र व्यापार लचिलोपन मापन सम्म हो।
अन्ततः, सुरक्षा मेट्रिक्सले नेतृत्वलाई कति जोखिम हटाइएको छ र प्रणालीहरू कति चाँडो सामान्यमा फर्कन्छ भनेर बताउनु पर्छ — सुरक्षा टोलीले यसलाई फेला पार्न कत्तिको कडा मेहनत गर्यो भन्ने होइन। स्थितिमा यो परिवर्तनले हामी सबैलाई जोखिम विरुद्ध राम्रोसँग रक्षा गर्न अझ राम्रोसँग सुसज्जित हुन मद्दत गर्नेछ।
हामीले उत्कृष्ट अनलाइन साइबर सुरक्षा पाठ्यक्रम प्रस्तुत गरेका छौं। लेख TechRadarPro को विशेषज्ञ इनसाइट्स च्यानल को एक भाग को रूप मा उत्पादन गरिएको थियो जहाँ हामी आज टेक्नोलोजी उद्योग मा सबै भन्दा राम्रो र उज्यालो दिमाग को सुविधा दिन्छौं। यहाँ व्यक्त गरिएका विचारहरू लेखकका हुन् र TechRadarPro वा Future plc का होइनन्। यदि तपाईं योगदान गर्न इच्छुक हुनुहुन्छ भने यहाँ थप जान्नुहोस्: https://www.techradar.com/news/submit-your-story-to-techradar-pro
