A vállalati informatikai környezet sérülékenységeinek azonosítása és kezelése természetesen a biztonsági szakemberek legfontosabb feladatai közé tartozik, és idejük nagy részét erre a tevékenységre fordítják, de a szervezet kibervédelmét a közhiedelemmel ellentétben nem a hackerek és bűnözők kívülről érkező, célzott támadási teszik a leginkább próbára.
Valójában a vállalati IT-biztonságért felelő szakemberek a házon belül fejlesztett vagy készen vásárolt, dobozos szoftverek sérülékenységeinek felkutatásával és befoltozásával töltik a legtöbb időt. Mi több, a nyáron megrendezett Black Hat konferencián készült felmérés szerint a vállalatok többsége nem azoknak az IT-biztonsági kockázatoknak és problémáknak a kezelésére biztosít megfelelő pénzügyi és emberi erőforrásokat, amelyek a területet ismerő szakemberek szerint a legnagyobb veszélyt jelentik.
Jóllehet napjaink fejlett és kitartó, célzott támadásaitól az IT-biztonsági szakemberek többsége okkal tart, idejük nagy részét mégis a szoftveralkalmazások sérülékenységeinek keresésével és megszüntetésével tölti. Tisztában vannak vele, csupán idő kérdése, hogy a vállalatot mikor válik egy kívülről indított kibertámadás céltáblájává, mert erre előbb-utóbb biztosan sor kerül, napi munkájuk mégis azt követeli tőlük, hogy erőforrásaik nagy részét más feladatok elvégzésére fordítsák.
Az említett felmérés (2015: Time to Rethink Enterprise IT Seccurity - Black Hat Attendee Survey) szerint az idei Black Hat konferencia résztvevőinek több mint egy harmada (35 százalék) a házon belül fejlesztett alkalmazások sérülékenységeinek kezelését tartja a legidőigényesebb feladatnak, és 33 százalékuk a készen vásárolt, dobozos szoftverek vonatkozásában is ugyanezt mondta. Az eredményből ítélve a vállalati alkalmazások sérülékenységei nagyon komoly erőforrásokat kötnek le az IT-osztályon belül, szervezeti szinten mégis ritkán tekintenek rájuk úgy, mint a biztonsági kockázatok egyik legnagyobb forrására.
Éppen ezért a felmérés egyik legértékesebb tanulsága, hogy az IT-osztályok, és azon belül az informatikai biztonságért felelő szakemberek nem úgy használják fel a rendelkezésükre álló erőforrásokat, ahogyan azt napjaink IT-biztonsági kockázatai és fenyegetései indokolttá tennék. Túl sok idejüket kötik le a törvényi megfeleléssel és az alkalmazások sérülékenységeivel összefüggő feladatok, így kevésbé tudnak összpontosítani a legnagyobb veszélyt hordozó, célzott támadásokra és más feljövő, kifinomult fenyegetésekre.
Megoldást ebben a helyzetben a szoftversérülékenységek kezelésének automatizálása jelentheti a vállalatok számára. A szofverbiztonságot a fejlesztés egyik kulcskritériumává kell tenni és a kódírás kezdeti szakaszától kezdve az alkalmazás teljes életciklusán keresztül automatizált teszteket futtatni a hiányosságok kiszűrése és javítása érdekében.
