دراسة ل F5 تؤكد المؤسسات لا تولي أمن التطبيقات اهتماماً كافياً

حثت شركة F5 نتووركس الشركات في الإمارات اليوم على وضع موضوع أمن التطبيقات في صلب خططها لدعم مبادرات الابتكار والتطور التي تشهدها المنطقة.
وقد سلط كبار الخبراء المختصين في مجال أمن التطبيقات على الصعيد العالمي الضوء على العقبات والفرص المتاحة أمام قادة الأعمال، حيث قاموا بالكشف عن نتائج أول تقرير للحالة السنوية لأمن التطبيقات، الي أجري بالتعاون مع معهد بونمون.
وقال دييجو آرابال، المدير العام في الشرق الأوسط وإفريقيا لدى شركة F5 نتووركس: "تتنامى أهمية موجة انتشار التقنيات المتطورة في الإمارات، وذلك لمواكبة رؤية الإمارات 2021. وتعد هذه الخطة تحولاً حقيقياً وجذرياً، وستعمل التطبيقات بمثابة الجهاز العصبي المركزي لها، حيث ستمكن الأفراد والشركات كي تنمو وتزدهر، وذلك عبر مستويات جديدة من المرونة والابتكار. ومع ذلك، فإن المسؤولية الملقاة على عاتق أمن التطبيقات تعيش حالة تغير مستمر، ولا تزال أقسام تقنية المعلومات تواجه عقبات كبيرة لضمان سلامة هذه التطبيقات، والبيانات التي تحتويها".
حال أمن التطبيقات
تدير 50 بالمائة من الشركات ما بين 500-2,500 تطبيق فعال، وفقاً لتقرير "أمن التطبيقات ومشهد المخاطر المتغيرة" الصادر عن شركة F5، بينما نجد أن 12 بالمائة من الشركات تدير أكثر من 2,500 تطبيق فعال.
وعلى الرغم من أن ثلث التطبيقات تقوم بمهام وأنشطة هامة وحاسمة يومياً، أفاد 35 بالمائة فقط أنهم يملكون الموارد الكفيلة بالكشف عن الثغرات الأمنية ونقاط الضعف، في حين صرح 30 بالمائة أنهم يمتلكون تقنيات قادرة على إصلاح وسد هذه الثغرات والنقاط. في حين أبدى 88 بالمائة قلقهم إزاء التهديدات الأمنية الجديدة والصاعدة عبر الإنترنت، التي من شأنها إضعاف الحالة المستقبلية لأمن التطبيقات.
ومن جهةٍ أخرى، وعلى نحو مثير للقلق، أفاد 43 بالمائة بعدم ثقتهم بمعرفة كافة التطبيقات الموجودة والمعمول بها في مؤسساتهم (23 بالمائة منهم أفادوا بأنهم "يثقون إلى حد ما").
كما أوضح دييجو آرابال أنه من أكبر التحديات التي تواجه الشركات هي ظاهرة التقلب المستمر في المسؤوليات الملقاة على عاتق تقنية المعلومات، ولا سيما بعد أن أصبحت التطبيقات أكثر مركزية في عمل الشركات وفي قيادة التوجهات التقنية الجديدة مثل إنترنت الأشياء.
بالإضافة إلى ذلك، وجدت دراسة شركة F5 أن 56 بالمائة من المستطلعين يعتقدون بأن مساءلة أمن التطبيقات تنتقل من تقنية المعلومات نحو المستخدم النهائي أو مالك التطبيق. كما أفاد 21 بالمائة من المستطلعين أن المسؤولية تقع على عاتق مدير المعلوماتية أو المدير التقني، وصرح 20 بالمائة بأنه لا يوجد شخص أو جهة تحمل على عاتقها كامل المسؤولية.
وتحدث دييجو آرابال عن هذه النقطة بالقول: "نجد بأن الشركات لا تزال تحاول التوصل إلى تفاهم ما مع موجة التقنيات الجديدة، مثل تقنيات إنترنت الأشياء التي اخترقت جميع جوانب حياتنا المهنية والشخصية. ونتيجةً لذلك، نجد بأن غالبية أقسام تقنية المعلومات غير مهيأة وتفتقر للموارد التي تؤهلها تنفيذ وتطبيق الاستراتيجيات الدفاعية الكافية".
ويتابع قائلاً: "ضعف الرؤى المطروحة حول طبقة التطبيقات، وهجرة التطبيقات إلى السحابة، والانتشار المكثّف للأجهزة المحمولة، وافتقار فرق التطوير للاستعدادات الكافية، هي من بين المخاطر والعقبات الرئيسية التي تواجه الشركات في يومنا الراهن".
تشخيص المشكلة
خلال العام الماضي، معظم الحوادث الأمنية الأكثر شيوعاً حدثت نتيجة التطبيقات غير الآمنة الموجودة ضمن اللغة الاستفسارية الانشائية المركبة SQL (29 بالمائة)، وهجمات الحرمان من الخدمة الموزعة DDoS (25 بالمائة)، وعميات الاحتيال عبر شبكة الإنترنت (21 بالمائة). كما أفاد 50 بالمائة ممن شملتهم الدراسة بأن طبقة التطبيقات تتعرض للهجوم بشكل متكرر وأكثر بكثير من طبقة الشبكات، وصرح 58 بالمائة بأن هذا النوع من الهجمات أكثر حدةً وضرراً.
هذا، وقد أشار 63 بالمائة من المشاركين في الدراسة بأن الهجمات التي استهدفت طبقة التطبيقات هي الأعنف والأصعب كشفاً، وذلك مقارنةً بالهجمات التي استهدفت طبقة الشبكات، وأفاد 67 بالمائة بأنها من الهجمات الأكثر صعوبة في الاحتواء. كما لاحظ غالبية المستطلعين (57 بالمائة) أن عدم وضوح الرؤية في طبقة التطبيقات يشكل عائقا أمام بناء جدار أمني قوي. وفي هذا الجزء بالتحديد، قد يعزى الأمر إلى حقيقة أن أمن الشبكات يتم تمويله بشكل أفضل من تمويل أمن التطبيقات. حيث اكتشف تقرير شركة F5 أن 18 بالمائة من ميزانية أمن تقنية المعلومات فقط مكرسة لأمن التطبيقات، في حين يتم تخصيص أكثر من ضعف هذا المبلغ (بمعدل 39 بالمائة) لصالح أمن الشبكات.
وهناك عقبات كبيرة أخرى تنشأ نتيجة الهجرة نحو السحابة (47 بالمائة)، ونقص العمالة الماهرة أو الخبيرة (45 بالمائة)، وانتشار الأجهزة المحمولة (43 بالمائة ممن شملتهم الدراسة).
أما على أرض الواقع، نجد بأن مسيرة نمو التطبيقات المتنقلة والقائمة على السحابة تؤثر بشكل كبير على مخاطر أمن التطبيقات، حيث أفاد 60 بالمائة من المستطلعين بأن التطبيقات المتنقلة ترفع سقف المخاطر (25 بالمائة)، أو ترفع سقف المخاطر بدرجة كبيرة (35 بالمائة). في حين صرح 51 بالمائة من المستطلعين أن التطبيقات القائمة على السحابة ترفع سقف المخاطر (25بالمائة)، أو ترفع سقف المخاطر بدرجة كبيرة (26 بالمائة).
الافتقار لسياسة التجريب والاختبار، وسد هوة العمالة الماهرة، وعودة ممارسات التطوير والعمليات DevOps إلى واجهة الأحداث
أشار ما يقرب من نصف المستطلعين إلى أن مؤسساتهم لا تقوم باختبار التطبيقات للكشف عن التهديدات ونقاط الضعف والثغرات الأمنية (25 بالمائة)، أو لا تقوم بأي اختبار مسبق (23 بالمائة). وأفاد 14 بالمائة فقط من المستطلعين أنه يتم اختبار التطبيقات في كل مرة يتم فيها تغيير الرمز (الكود).
وقد بدأ هذا الوضع يتفاقم لدى الشركات التي تراجعت ثقتها بدرجة كبيرة بمطوري التطبيقات الذين يضعون خطط أمن الممارسات في المؤسسات، وفي عمليات تطوير واختبار التطبيقات. وعندما يتعلق الأمر بتطوير التطبيقات، أشار 74 بالمائة منهم بأنهم يملكون ثقة إلى حد ما (27 بالمائة)، أو ليس لديهم أي ثقة (47 بالمائة) بالممارسات مثل ممارسات الإدخال/الإخراج للتحقق والمطابقة، وفي تنفيذ خيارات البرمجة الدفاعية والمترجم/الرابط المناسب.
ومع ذلك، هناك ثقة متنامية بأن ارتفاع مستوى أهمية وتأثير ممارسات التطوير والعمليات DevOps، أو التكامل المستمر، سيكون له أثر إيجابي على أمن التطبيقات. حيث صرح 35 بالمائة من المستطلعين بأن مؤسساتهم استثمرت ممارسات التطوير والعمليات DevOps، أو ممارسات التكامل المستمر، ضمن دورة حياة تطوير التطبيقات. وأشار 71 بالمائة بأن هذا الأمر سيؤدي إلى تحسن وضع أمن التطبيقات، ما يمكنهم من الاستجابة بسرعة للقضايا الراهنة ونقاط الضعف والثغرات الأمينية (56 بالمائة من المشاركين في الدراسة).
ولا تزال هوة العمالة الماهرة في مجال الأمن الالكتروني من القضايا الملحة في هذا السياق، حيث يرى 69 بالمائة من المستطلعين بأن الافتقار لوجود عمالة ماهرة ومؤهلة ضمن شريحة مطوري التطبيقات يعرض تطبيقاتهم للخطر. علاوةً على ذلك، أفاد 67 بالمائة بأن "التسرع في الإطلاق" يؤدي إلى إهمال مطوري التطبيقات، على مستوى المؤسسات العاملين في كنفها، إلى إجراءات وعمليات الترميز (التشفير) الآمنة.
الثقة هي اليد العليا
تسلط أبحاث شركة F5 الصادرة مؤخراً الضوء على مدى أهمية معالجة الشركات للقضايا تؤثر بشكل مباشر أو غير مباشر بمستوى ثقة العملاء. حيث أظهرت نتائج دراسة تعني بالخصوصية والأمن صدرت مؤخراً، وشملت 1,000 من شريحة المستهلكين، أن 59 بالمائة يشعرون بالقلق من مغبة وقوع بياناتهم الخاصة بين أيدي الأشخاص السيئين، تلتها المساومة على خصوصياتهم (57 بالمائة). ومع ذلك، نجد بأن المستهلكين الإماراتيين مستعدون للتخلي، وبوتيرة مستمرة، عن بياناتهم الشخصية مقارنةً بالمستهلكين في أوروبا، وفقط 8 بالمائة أفادوا بأنهم لن يتخلون عن بياناتها الشخصية على الإطلاق، مقارنةً ب 33 بالمائة في المملكة المتحدة.
ورغم أن المستهلكين في الإمارات ينظرون إلى المصارف باعتبارها من الشركات الأكثر ثقةً (91 بالمائة)، هناك مستوى من عدم الرضا في الطرق المستخدمة لحماية بياناتهم الخاصة. كما يرى المستهلكون بأن المصارف (86 بالمائة)، والقطاع العام والهيئات الحكومية (80 بالمائة)، وقطاع التأمين (72 بالمائة)، وقطاع الرعاية الصحية (71 بالمائة)، بحاجة إلى حقل واسع من قدرات وإمكانيات المصادقة لتحقيق أعلى قدر ممكن من الأمن. وعلى امتداد أوروبا والشرق الأوسط وشمال أفريقيا، يشعر 88 المائة من المستهلكين، وبقوة، أنه يتوجب على المؤسسات العمل على تحسين مستوى المصادقة، وذلك بهدف توفير أعلى قدر ممكن من الأمن.
وهو ما تطرق إليه دييجو آرابال بالقول: "في نهاية المطاف، تقع مسؤولية أمن التطبيقات على الجميع".
ويختم حديثه قائلاً: "ينبغي على الأطراف المعنية بصياغة معادلة استراتيجية نشر التطبيقات الناجحة إدراج قسم تقنية المعلومات، والمطورين، وممارسات التطوير والعمليات DevOps - إلى جانب المدراء التنفيذيين للمعلوماتية أو للتقنيات، الذين يحتاجون إلى المزيد من الموارد - ضمن هذا المجال الهام من الأعمال. كما وضع استراتيجية ملكية مستدامة لأمن التطبيقات سيساعد الشركات على نشر أمن التطبيقات عبر شبكة موظفيها، للحصول على وصول آمن إلى الشبكة على مدار الساعة، من أي جهاز ومكان".