- عنوان کتاب: Use of GNN to automate SSDLC Alert Dismissal Review Process
- نویسنده: Devjyoti Raha
- حوزه: کاربرد یادگیری عمیق
- سال انتشار: 2026
- تعداد صفحه: 157
- زبان اصلی: انگلیسی
- نوع فایل: pdf
- حجم فایل: 3.64 مگابایت
چشمانداز امنیت سایبری، حوزهای همواره در حال تغییر است و بهروز نگهداشتن آن با تمام اکسپلویتها برای هر صنعتی واقعاً چالشبرانگیز است. یکی از حوزههای این حوزه، امنیت برنامههای کاربردی (appsec) است و پیادهسازی کنترلهای مناسب امنیت برنامههای کاربردی به عنوان بهترین شیوهها در هر صنعت دارای فناوری با ترکیبی از یک یا چند ابزار مانند ابزارهای امنیتی برنامههای کاربردی ایستا (SAST)، ابزارهای امنیتی برنامههای کاربردی پویا (DAST)، ابزارهای اسکن مخفی یا اخیراً ابزارهای امنیتی برنامههای کاربردی تعاملی (IAST) پیادهسازی میشود. این ابزارها به عنوان رویه استاندارد devsecops به خط لوله CI/CD متصل میشوند تا آسیبپذیریها را شناسایی و برطرف کنند و خطرات مرتبط با سطوح حمله در برنامههای کاربردی را به حداقل یا کاهش دهند که این امر برای هر سازمانی از اهمیت بالایی برخوردار است تا وضعیت امنیت سایبری خود را حفظ کند، زیرا تقریباً همه سازمانها خدمات خود را از طریق برنامه وب یا برنامه تلفن همراه ارائه میدهند. ابزارهای تجزیه و تحلیل ایستا برای شناسایی اشکالات/نقصها/آسیبپذیریهای موجود در کد استفاده میشوند (پار امانوئلسون و همکاران، ۲۰۰۸). ابزارهای امنیتی پویای برنامههای کاربردی، آسیبپذیریها را از طریق جعبه سیاه جستجو میکنند، آیا به تجزیه و تحلیل برنامههای کاربردی وب سطحی حمله میکنند، در حالی که اسکن مخفی به دنبال اعتبارنامههای کدگذاری شده سخت یا توکنها/رمزهای API و غیره است. رازهایی که در مخازن کد منبع کنترلشده نسخه بررسی میشوند، خطرات امنیتی را برای نرمافزار و سازمان به طور یکسان ایجاد میکنند. تشخیص راز – هنگامی که ابزارها به درستی پیکربندی شوند، وجود رازها را در کد، تغییرات اعمال شده و تاریخچه کنترل نسخه پروژه شناسایی میکنند. و این ابزارها مثبت کاذب زیادی ایجاد میکنند، به توسعهدهندگان مکانیسمهایی برای دور زدن هشدارهای تولید شده از این ابزارها ارائه میشود (رحمان و همکاران، 2022). هرگونه آسیبپذیری که از دست رفته یا به اشتباه طبقهبندی شده باشد، خطراتی را برای سازمان ایجاد میکند که میتواند نه تنها از نظر مالی، بلکه از نظر اعتبار نیز پیامدهای بزرگی داشته باشد. این میتواند به شدت بر پایداری کسب و کار تأثیر بگذارد، همانطور که در مورد شرکتهایی مانند Code spaces، Telefonica، Medstar Health و غیره دیدهایم یا میتواند خطرات جدی ایجاد کند. سازمانهای فینتک همیشه نقطه داغی برای مجرمان سایبری هستند تا از آسیبپذیریها سوءاستفاده کنند و به همین دلیل برای مدیریت استراتژیک خطرات به خوبی تنظیم شدهاند (آرتی و همکاران، 2017). طبق یک مقاله برجسته که توسط securityboulevard.com منتشر شده است، «گزارش تحقیقات نقض دادههای Verizon در سال ۲۰۲۰ (DBIR) این موضوع را تأیید میکند: ۴۳٪ از نقضهای دادهها به آسیبپذیریهای برنامههای وب مرتبط هستند – که نسبت به سال گذشته بیش از دو برابر شده است.» (پاتریک ۲۰۲۰ و Verizon ۲۰۲۰) این بدان معناست که تقریباً اکثر سوءاستفادهها در لایه برنامه رخ میدهند، که در نهایت به این سوال منجر میشود که چگونه میتوان کنترلهای امنیتی و کاهش خطرات را برای به حداقل رساندن خطرات در سازمانهای فینتک تقویت کرد. اگرچه این ابزارها نتایج خوبی ارائه میدهند، اما با سطح بالایی از مثبت کاذب همراه هستند (بوشرا آلوراینی و همکاران، ۲۰۱۹).
Cybersecurity landscape is an ever-changing area and for any industry to keep, up-to-date with all the exploits is really challenging. A domain in this space is application security (appsec) and implementation of proper application security controls is implemented as best practices across any tech enabled industry with one or more combination of tools such as Static Application Security Tools (SAST), Dynamic Application Security Tools (DAST), Secret Scanning Tools or more recently Interactive Application Security Tools (IAST). The tools are plugged in to the CI/CD pipeline as standard devsecops practice to detect and fail on vulnerabilities and to minimize or mitigate the risks associated with attack surfaces in applications which is of utmost importance to any organization to keep their cybersecurity posture intact as almost all the organizations offers their services via web app or mobile app. Static analysis tools are used to detect bugs/ defects/ vulnerabilities with in the code (Pär Emanuelsson et al., 2008). Dynamic application security tools looks for vulnerabilities from black box way, does attack surface web application analysis whereas secret scanning looks for hard coded credentials or api tokens/secrets etc. Secrets that are checked in version-controlled source code repositories pose security risks to software and organization alike. Secret detection—when properly configured tools does identify the existence of secrets in the code, commit changesets, and project version control history. And these tools generates a lot of false positives, developers are provided with mechanisms to bypass the warnings generated from these tools (Rahman et al., 2022). Any vulnerabilities missed or falsely categorized opens risks to the organization that can have huge implication not only on financial aspect but on reputation stake as well. This can severely affect the sustainability of the business as we have seen in the cases of companies such as Code spaces, Telefonica, Medstar Health etc or can pose serious risks. Fintech organization are always a hot spot for cyber criminals to exploit vulnerabilities and as such is well regulated to handle risks strategically (Artie et al., 2017). According to a leading article posted by securityboulevard.com, “The 2020 Verizon Data Breach Investigations Report (DBIR) confirms that this is the case: 43% of data breaches are tied to web application vulnerabilities—which more than doubled year over year.”(Patrick 2020 & Verizon 2020) This means almost majority of the exploits occurs at application layer, which ultimately leads to the question of how to harden security controls and mitigation practice to minimize the risks across fintech organizations. Although these tools produce a good set of results but it is accompanies by a high level of False Positives (Bushra Aloraini et al., 2019).
این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:
Download: Use of GNN to automate SSDLC Alert Dismissal Review Process
نظرات کاربران