HackerOne: как экономика влияет на команды кибербезопасности
5 мая 2023 г.HackerOne опубликовала результаты своего нового исследования, которое показывает, что половина опрошенных организаций столкнулись с повышенными уязвимостями кибербезопасности в прошлом году, поскольку они столкнулись с сокращением бюджета безопасности и увольнениями. HackerOne — крупнейшее в мире сообщество этичных хакеров.
TechRepublic посетила недавнее мероприятие HackerOne, на котором руководители компании, а также этичные хакеры и руководители GitLab и Sumo Logic обсудили экономические последствия кибербезопасности. Эксперты на мероприятии рассказали о шагах, которые некоторые компании предпринимают, чтобы делать больше с меньшими затратами, подчеркнув решающую роль, которую DevSecOps, машинное обучение и искусственный интеллект могут сыграть во время экономического спада.
Перейти к:
- Сокращение бюджета безопасности и увольнения без плана — серьезная ошибка
Тренды в области безопасности: AI, ML, DevSecOps, вознаграждение за обнаружение ошибок
В кибербезопасности гибкость имеет решающее значение
Сокращение бюджета безопасности и увольнения без плана — серьезная ошибка
Опрос HackerOne показывает, что экономические сокращения, такие как сокращение бюджета, увольнения и замораживание новых сотрудников и инвестиций, связанные с безопасностью, негативно сказываются на способности эффективно управлять кибербезопасностью для 75% опрошенных компаний. Однако сокращение инвестиций в кибербезопасность из-за экономического спада может иметь разрушительные последствия для компаний в долгосрочной перспективе.
Киберпреступность увеличивается во время рецессий и кризисов, как показывают отчеты ФБР за 2008 год и пандемию соответственно. По словам Acronis, к 2023 году средняя стоимость утечки данных вырастет до рекордно высокого уровня и превысит 5 миллионов долларов. Кроме того, риски несоблюдения нормативных требований растут в связи с постоянно меняющейся нормативно-правовой базой.
«Всякий раз, когда наступают периоды сильного беспокойства, такие как экономический спад, вызванный пандемией, плохие деятели проявляют себя наилучшим образом», — сказал Джордж Герчоу, директор по безопасности и старший вице-президент по информационным технологиям в Sumo Logic, во время круглого стола в Мероприятие HackerOne.
«Я видел несколько компаний, на которые повлияло ужесточение бюджетных ограничений, но я могу сказать вам, что в Sumo этого не произошло. Вероятно, мы инвестируем больше, чем когда-либо. Я думаю, что это настоящая ошибка, когда компании начинают урезать свой бюджет на кибербезопасность, особенно в наше время».
ПОСМОТРЕТЬ: Шаблон годового ИТ-бюджета (TechRepublic Premium)
Недавний отчет GitLab показывает, что 85% опрошенных лидеров безопасности говорят, что у них такой же или меньший бюджет, чем в 2022 году.
«Организации во всем мире ищут способы сделать больше с меньшими затратами, — сказал Дэвид ДеСанто, директор по продуктам GitLab.
Марк Лавлесс, штатный инженер по безопасности в GitLab, объяснил, что на компанию повлиял экономический спад, и он внес коррективы, сосредоточив внимание на DevSecOps.
«Мы используем наше программное обеспечение для написания программного обеспечения», — сказал Лавлесс.
«Многое из того, что мы делаем, — это попытки ускорить процесс и сделать его более эффективным, и это помогло», — добавил Лавлесс.
Размышляя о том, было ли сокращение бюджета хорошим планом, Лавлесс использовал аналогию с банком.
«Если вы собираетесь сократить персонал банка, вы хотите сократить всех охранников, которые охраняют хранилище? Возможно нет."
Этические хакеры и охотники за ошибками Херан Малхотра, посол бренда HackerOne, и Джозеф (который не назвал свою фамилию) сказали, что с их стороны влияние было низким, поскольку они все еще активно взаимодействуют со многими компаниями. Малхотра добавил, что из-за сложной экономической ситуации многие предприятия переходят в онлайн, а сотрудники получают доступ к приложениям и инфраструктуре компаний, используя общедоступные сети или другие небезопасные средства.
«Там необходимо развивать кибербезопасность», — сказал Малхотра.
Отчет HackerOne показывает, что, хотя 84% компаний заметили увеличение числа уязвимостей и обеспокоены финансовым и репутационным ущербом от взломов, они все еще планируют или уже провели увольнения и сокращения бюджета, которые затронут команды безопасности.
По данным опроса HackerOne, за последний год 39% компаний сократили штат сотрудников службы безопасности, а 40% планируют сделать это в ближайшие 12 месяцев. Герчоу объяснил, что эти действия имеют прямые и косвенные последствия, которые часто упускают из виду.
Герчоу сказал, что, хотя многие компании не обязательно увольняют, они заморозили численность персонала, несмотря на то, что планировали увеличить количество отделов безопасности из-за нагрузки. Затем команды безопасности вынуждены брать на себя повышенную нагрузку, что, в свою очередь, повлияет на производительность и эффективность и может вызвать выгорание. Этичные хакеры добавили, что нехватка сотрудников службы безопасности может дать злоумышленникам возможность найти новые уязвимости в менее защищенных системах.
Тренды в области безопасности: AI, ML, DevSecOps, вознаграждение за обнаружение ошибок
Экономический ландшафт, сокращение бюджета и увольнения заставляют многих в индустрии кибербезопасности изучать тенденции, которые включают DevSecOps, искусственный интеллект, машинное обучение, автоматизацию, программы вознаграждения за обнаружение ошибок и консолидацию решений безопасности.
DevSecOps
Благодаря DevSecOps компании осознают тесную связь между разработкой программного обеспечения, безопасностью и эксплуатацией, а также внедряют меры безопасности на более ранних этапах жизненного цикла разработки программного обеспечения или сдвигаются влево. Эта стратегия позволяет группам разработки, безопасности и эксплуатации работать совместно, а не изолированно.
Опрос GitLab показывает, что этот сдвиг в DevSecOps увеличивается: 38% специалистов по безопасности сообщают, что являются частью межфункциональной команды, занимающейся вопросами безопасности, по сравнению с 29% в 2022 году.
SEE: лучшие сертификаты для инженеров DevOps (TechRepublic)
ИИ и машинное обучение
Опрос GitLab также показывает, что ведущие компании обращаются к ИИ и машинному обучению, чтобы повысить производительность и эффективность жизненного цикла программного обеспечения.
AI и ML стали важнейшими компонентами рабочих процессов DevSecOps. Согласно опросу GitLab, 65% разработчиков используют AI-ML для тестирования — или будут использовать в ближайшие три года — и 62% используют эту технологию для проверки кода.
Такой подход к интеграции принят далеко не всеми компаниями и ведет к ненужным затратам. По данным опроса HackerOne, треть организаций признают, что тратят деньги впустую из-за неэффективности своего технологического стека и процесса обеспечения безопасности жизненного цикла разработки программного обеспечения.
Количество компаний, занимающихся кибербезопасностью, предлагающих ИИ и консолидацию, продолжает расти. В число наиболее признанных поставщиков и решений входят Falcon Complete MDR от CrowdStrike, Advanced Threat Protection от Tessian, Cloud Security Automation от Palo Alto Networks и PREVENT, DETECT & RESPOND и HEAL от Darktrace.
ПОСМОТРЕТЬ: DevSecOps: ИИ меняет роли разработчиков, но не все так гладко (TechRepublic)
AI и ML позволяют компаниям увеличивать свои ресурсы, повышать производительность и укреплять безопасность. Инструменты автоматизации и консолидация также сокращают расходы, позволяя командам сосредоточиться на критически важных задачах.
Руководители признают, что специалисты по кибербезопасности, эксперты и этичные хакеры пользуются большим спросом. Команды безопасности обнаруживают уязвимости с более высоким риском, реагируют, пресекают атаки и проводят расследования. Они заполняют пробелы, которые оставляет за собой автоматизация, и используют инновационные технологии, такие как ИИ, в качестве инструмента, а не замены.
Программы Bug Bounty и тестирование на проникновение
Еще одна область, в которой эксперты по безопасности начинают использовать ИИ и новые технологии, такие как ChatGPT, — это программы вознаграждения за обнаружение ошибок и тестирование на проникновение.
«Сама идея запуска программы вознаграждения за обнаружение ошибок очень помогает», — сказал Герчоу.
«Некоторые компании не понимают, что отдача не будет немедленной, но вы получаете более безопасный код», — добавил Герчоу.
Кроме того, компаниям дешевле запускать программы вознаграждения за обнаружение ошибок, чем нанимать собственные группы безопасности, занимающиеся исключительно поиском слабых мест.
ПОСМОТРЕТЬ: Универсальный пакет этического взлома и тестирования на проникновение (Академия TechRepublic)
Все эксперты круглого стола HackerOne согласились с тем, что искусственный интеллект и такие инструменты, как модели ChatGPT, меняют правила игры, но они также признали, что отрасль только начинает раскрывать свой потенциал.
Согласно отчету HackerOne, 37% опрошенных компаний уверены, что на ИИ можно «в некоторой степени полагаться».
Объединение решений безопасности
Правительство и государственный сектор США также пострадали: многие респонденты опроса GitLab говорят, что они развертывают программное обеспечение медленнее или с той же скоростью, что и в прошлом году. Даже на федеральном, правительственном, аэрокосмическом и оборонном уровнях более половины хотят усилить и консолидировать свой инструментарий.
Консолидация служб безопасности и поставщиков — еще одна тактика, привлекательная для компаний, стремящихся сократить бюджет. Например, такие компании, как Check Point Software Technologies, используя облачную аналитику угроз и автоматизацию на основе ИИ, недавно представили комплексное решение Infinity Global Services.
«Клиенты хотят консолидировать и упростить свои решения в области кибербезопасности, — сказал Пол Соломон, Managed Cyber Services, Softcat, партнер Check Point.
В кибербезопасности гибкость имеет решающее значение
В индустрии кибербезопасности ясно одно: сокращение собственного бюджета на безопасность без плана или пренебрежение новыми инструментами и стратегиями, такими как DevSecOps, ИИ, автоматизация и программы вознаграждения за обнаружение ошибок, представляют собой серьезный риск в 2023 году.
Оригинал