Beveiligingsachterstanden in EMEA nemen toe te midden van toenemende cyberdreiging: Rapport van Veracode onthult dringende behoefte aan AI-gestuurd herstel en beheer van applicatiebeveiliging
- Twee derde van de organisaties in de regio EMEA worstelt met beveiligingsachterstanden en bijna de helft beschouwt hun achterstand als ‘kritiek’
- 80% van de code van derden bevat een kritieke beveiligingsachterstanden, aanzienlijk hoger dan het wereldwijde gemiddelde
LONDEN–(BUSINESS WIRE)– Veracode, een wereldwijd toonaangevend bedrijf op het gebied van applicatierisicobeheer, heeft vandaag een snapshot van de regio EMEA uit haar jaarlijkse State of Software Security (SoSS) 2024-rapport gepubliceerd, waaruit blijkt dat de beveiligingsachterstanden in organisaties in Europa, het Midden-Oosten en Afrika zorgwekkend hoog zijn.
Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20240923809797/nl/
Veracode State of Software Security EMEA Snapshot 2024, Figure 1: Prevalence of security debt in EMEA (Graphic: Business Wire)
Uit onderzoek van Veracode blijkt dat 68 procent van de organisaties in de regio EMEA een zekere beveiligingsachterstand heeft, terwijl 46 procent code heeft die hardnekkige ernstige fouten bevat die zijn geclassificeerd als ‘kritieke’ beveiligingsachterstanden. Deze zeer ernstige fouten vormen het grootste risico voor applicaties en vormen een bom die op elk moment kan afgaan, met catastrofale inbreuken als mogelijk gevolg.
In een wereld waarin elke interactie met een applicatie een potentieel aanknopingspunt kan zijn voor cyberaanvallers, is het belangrijker dan ooit tevoren om beveiligingsproblemen te begrijpen en te beheren. Beveiligingsachterstanden, in dit rapport gedefinieerd als softwarefouten die langer dan een jaar onopgelost blijven, kunnen oplopen wanneer ontwikkelaars niet beschikken over de tijd of middelen om potentieel gevaarlijke fouten aan te pakken. Naarmate de tijd verstrijkt, stapelen deze fouten zich op en worden organisaties steeds kwetsbaarder voor aanvallers.
Chris Eng, Chief Research Officer bij Veracode, zegt: “De bevindingen in het EMEA SoSS-rapport van dit jaar zijn een wake-upcall voor organisaties in de regio. Bedrijven moeten zich eerst en vooral richten op het verhelpen van kritieke beveiligingsproblemen, aangezien deze gebreken het grootste risico vormen.”
Ontwikkelaars die fouten handmatig moeten opsporen en oplossen, schieten vaak tekort in het aanpakken van de groeiende beveiligingsachterstand. De oorzaak hiervan zijn trage hersteltermijnen en prioritering. Uit analyse van de hersteltermijnen in de regio EMEA blijkt dat organisaties die handmatige methoden gebruiken gemiddeld 19 maanden nodig hebben om fouten in code van derden te herstellen, tegenover negen maanden bij code van de eigen organisatie. Omdat er zoveel fouten moeten worden aangepakt, moeten organisaties prioriteiten stellen en bepalen welke kwetsbaarheden ze als eerste willen verhelpen. Dat geldt met name voor kritieke fouten.
Wat betreft de oorsprong van beveiligingsachterstand, blijkt uit het rapport dat 84 procent van de totale beveiligingsachterstand te herleiden is naar zelfontwikkelde code. 80 procent van de kritieke beveiligingsachterstanden stamt uit code van derden. Deze fouten blijven vaak onopgemerkt, maar kunnen net zo gevaarlijk zijn voor organisaties in de regio EMEA. Het is belangrijk op te merken dat de kritieke veiligheidsachterstandscijfers aanzienlijk hoger liggen dan het wereldwijde percentage van 65 procent.
De inzet van AI voor het verhelpen van kwetsbaarheden
Steeds vaker maken ontwikkelaars gebruik van AI-codegeneratoren voor het creëren van software vanwege de snelheid en efficiëntie die ze bieden, maar deze produceren niet altijd veilige code. Uit recent onderzoek blijkt namelijk dat 36 procent van de code die wordt gegenereerd door de op AI gebaseerde tool GitHub CoPilot beveiligingsgebreken vertoont.
AI kan ook worden ingezet om beveiligingsachterstanden weg te werken en ontwikkelaars en beveiligingsteams te ondersteunen door de tijd die nodig is om kwetsbaarheden te verhelpen, drastisch te verkorten. Eng zei: “Op AI gebaseerde herstelhulpmiddelen kunnen teams een aanzienlijke hoeveelheid tijd besparen door geautomatiseerde aanbevelingen voor oplossingen te bieden en tekortkomingen op grote schaal aan te pakken. Onze op AI gebaseerde hersteloplossing, Veracode Fix, heeft bijvoorbeeld de hersteltijden voor gangbare kwetsbaarheden teruggebracht van dagen naar minuten, waardoor de productiviteit van ontwikkelaars aanzienlijk is verhoogd.”
Het verlagen van de beveiligingsachterstanden in een complexe omgeving
Aangezien drie vijfde (60 procent) van alle fouten in organisaties in de regio EMEA niet als beveiligingsachterstand of kritiek wordt beschouwd, wordt het voor ontwikkelaars gemakkelijker en beter beheersbaar om zich te concentreren op het oplossen van de vier procent die het hoogste risico vormen. Wanneer deze eenmaal zijn aangepakt, kunnen organisaties niet-kritieke beveiligingsachterstanden wegwerken of recentere kritieke fouten aanpakken, afhankelijk van hun risicotoleranties en hun capaciteit.
Voor organisaties die op zoek zijn naar richtlijnen voor het prioriteren van beveiligingsachterstanden, kunnen tools voor Application Security Posture Management (ASPM) het risico doorlopend in het oog houden door beveiligingsproblemen in de softwareontwikkelingscyclus te verzamelen, analyseren en prioriteren.
ASPM-tools hebben aan populariteit gewonnen doordat ze een uitgebreid, uniform overzicht bieden van de risico’s in applicatiestacks en het verhelpen van problemen vergemakkelijken. Longbow, powered by Veracode, maakt gebruik van ASPM om de kern van het probleem te achterhalen door middel van contextuele analyse en stelt de beste vervolgacties voor om met zo min mogelijk inspanning het grootste risico te verkleinen.
Eng sluit af: “De prevalentie van beveiligingsachterstanden bij organisaties in de regio EMEA onderstreept de noodzaak van onmiddellijke actie om bedrijven te beschermen tegen toekomstige inbreuken. Beveiligingsmanagers en ontwikkelaars moeten zich richten op het oplossen van de meest kritieke fouten die, gelet op hun context, het grootste risico opleveren. Op AI gebaseerde beveiligingsoplossingen die herstelinspanningen opschalen, stellen teams in staat hun groeiende beveiligingsachterstand efficiënter weg te werken en de tijd te verkorten waarin kwetsbaarheden kunnen worden uitgebuit.”
Het SoSS-snaphot voor EMEA is te downloaden op de website van Veracode. Voor toegang tot het volledige State of Software Security 2024-rapport en om dieper inzicht te krijgen in de bevindingen en aanbevelingen, kunt u terecht op de website.
Over het State of Software Security-rapport
Het Veracode State of Software Security-rapport van 2024 analyseerde gegevens van grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. Het onderzoek is gebaseerd op meer dan een miljoen (1.007.133) applicaties voor alle scantypen, 1.553.022 dynamische analysescans en 11.429.365 statische analysescans. Al deze scans leverden 96 miljoen onbewerkte statische bevindingen, 4 miljoen onbewerkte dynamische bevindingen en 12,2 miljoen onbewerkte analyseresultaten van de softwaresamenstelling op.
Over Veracode
Veracode is een wereldleider op gebied van Application Risk Management voor het AI-tijdperk. Op basis van biljoenen regels met codescans en een eigen, via AI geassisteerde herstelmachine, vertrouwen organisaties van over de hele wereld op het platform van Veracode om veilige software te maken en te onderhouden, van de creatie van code tot cloudontplooiing. Duizenden toonaangevende ontwikkelings- en securityteams van over de hele wereld gebruiken Veracode elke seconde van elke dag om nauwkeurige, bruikbare zichtbaarheid te krijgen op exploiteerbaar risico, realtime herstel van kwetsbaarheden te verwezenlijken en hun securitydebt op schaal te verminderen. Veracode is een bedrijf dat vele awards werd toegekend en dat capaciteiten biedt om de hele levenscyclus van softwareontwikkeling te beveiligen, waaronder Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, en Penetration Testing.
Meer informatie op www.veracode.com, op hetVeracode-blog en op LinkedIn en Twitter.
Copyright © 2024 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk geregistreerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectieve houders. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectievelijke eigenaren.
Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.
Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20240923809797/nl/
Contacts
Voor meer informatie kunt u contact opnemen met:
Katy Gwilliam
kgwilliam@veracode.com