Według nowych badań, niepokojąca liczba powszechnie używanych aplikacji ma bardzo poważne luki w zabezpieczeniach, zwłaszcza te używane przez firmy z sektora technologicznego.
Raport Veracode, który przeanalizował 20 milionów skanów w pół miliona aplikacji z branży technologicznej, produkcyjnej, handlu detalicznego, usług finansowych, opieki zdrowotnej i administracji, wykazał, że 24% aplikacji w sektorze technologicznym ma defekty o dużej wadze.
Dla porównania, jest to drugi najwyższy odsetek aplikacji z lukami w zabezpieczeniach (79%), przy czym najgorszą sytuację ma tylko sektor publiczny (82%).
prawidłowe wady
Raport stwierdza, że wśród najczęstszych typów luk w zabezpieczeniach są konfiguracje serwerów, niezabezpieczone zależności i wycieki informacji, stwierdzając, że te ustalenia „w dużej mierze pokrywają się” z podobnym schematem do innych branż. Jednak branża ma największe rozbieżności w stosunku do średniej w branży, jeśli chodzi o problemy związane z kryptografią i wycieki informacji, co skłoniło naukowców do spekulacji na temat tego, w jaki sposób twórcy technologii branżowych mają większą wiedzę na temat wyzwań związanych z ochroną danych.
Jeśli chodzi o liczbę rozwiązanych problemów, sektor technologiczny plasuje się gdzieś pośrodku. Jednak firmy stosunkowo szybko rozwiązują problemy. Naprawa 363% usterek zajmuje im do 50 dni. Chociaż jest to lepsze niż średnia, wciąż jest długa droga do przebycia, dodał Veracode.
Dla Chrisa Eng, dyrektora ds. badań w Veracode, nie chodzi tylko o znajdowanie błędów, ale przede wszystkim o zmniejszenie liczby błędów wprowadzanych do kodu. Ponadto uważa, że firmy powinny bardziej skupić się na automatyzacji testów bezpieczeństwa.
„Log4j wywołał alarm w wielu organizacjach w grudniu ubiegłego roku. Następnie podjęto działania rządu w postaci wytycznych Biura Zarządzania i Budżetu (OMB) oraz europejskiego prawa cybernetycznego. Odporność, z których oba koncentrują się na łańcuchu dostaw”, powiedział inż. „Aby poprawić wydajność w nadchodzącym roku, firmy technologiczne powinny nie tylko rozważyć strategie, które pomogą programistom zmniejszyć liczbę luk wprowadzanych do kodu, ale także położyć większy nacisk na automatyzacja testów bezpieczeństwa w potoku ciągłej integracji/ciągłego dostarczania (CI/CD). aby uzyskać wydajność. »
Cyberprzestępcy często skanują aplikacje dostępne przez Internet używane przez firmy w poszukiwaniu luk w zabezpieczeniach i luk w kodzie. Kiedy już taką znajdą, często używają jej do wdrażania powłok sieciowych, które następnie dają im dostęp do sieci korporacyjnej i punktów końcowych (Otwiera się w nowej karcie). Po zmapowaniu sieci i zidentyfikowaniu wszystkich urządzeń oraz danych mogą rozpocząć drugi etap ataku, którym jest zwykle ransomware, złośliwe oprogramowanie lub czyszczenie danych.
