Yeni bir araştırmaya göre, çoğu kuruluş, konuyla ilgili tüm artan endişelere rağmen uygulama güvenliği sorunlarını ele almada çok az ilerleme kaydediyor gibi görünüyor.
NTT Uygulama Güvenliği araştırmacıları tarafından yapılan çalışma, 2021 yılına kadar çoğunlukla müşteri konumlarındaki İnternete bakan Web uygulamalarından oluşan yaklaşık 15 milyon taramadan elde edilen verilere dayanmaktadır. Geçen yıl kuruluşların, kritik bir güvenlik açığını veya 2020’de aldıkları sürenin neredeyse aynısını (194.8) düzeltin. Aynı dönem için kuruluşlar, genel toplamın bir yüzdesi olarak ortalama olarak daha az güvenlik açığını da düzeltti.
NTT verileri Kritik güvenlik açıkları için iyileştirme oranlarının ortalama olarak 2020’de %54’ten 2021’de %47’ye düştüğünü gösteriyor. Başka bir deyişle, kuruluşlar geçen yıl bilinen kritik kusurların yarısından fazlasını (%53) giderilmedi. NTT’nin çalışması, daha az ciddi kusurlar için daha da berbat oranlar gösteriyor – kuruluşlar, 2021’de ortamlarındaki ortalama olarak yüksek önemdeki kusurların yalnızca %36’sını ve orta önemdeki hataların %33’ünü düzeltti.
Şaşırtıcı olmayan bir şekilde, NTT’nin araştırmasındaki tüm sitelerin yarısında 2021 boyunca en az bir ciddi istismar edilebilir güvenlik açığı vardı. Bazı sektörlerde, sitelerin daha yüksek bir yüzdesi bu tür bir riske maruz kaldı. En çok hedeflenen sektörlerden biri olan perakende sektöründeki sitelerin yüzde elli dokuzu 2021 boyunca en az bir ciddi güvenlik açığına sahipti. Kamu hizmetleri sektöründe, sitelerin %63’ü en az bir kötüye kullanılabilir güvenlik açığı nedeniyle geçen yıl sürekli saldırılara maruz kaldı. ; profesyonel, bilimsel ve teknik hizmet sektöründe ise bu sayı %65 ile daha da yüksekti.
NTT Application Security algılama araştırması kıdemli direktörü Zach Jones, “Basitçe söylemek gerekirse, bu ölçümlerin çoğu yanlış yöne gidiyor” diyor. Uygulama güvenlik açığı iyileştirme oranları ve kuruluşların kusurları düzeltmek için geçen yıl ortalama olarak harcadıkları süre, güvenlik ekiplerinin sıklıkla ulaşmaya çalıştığı istenen hedeflerin çok dışında kaldığını söylüyor.
Jones, “Örneğin, çoğu ekip, uygulamalarında bulunan kritik güvenlik açıklarını 30 gün içinde düzeltmeyi hedefliyor” diyor. “Ancak, verilerimize baktığımızda, kritik bir güvenlik açığını gidermenin ortalama 193 gün sürdüğünü görüyoruz.”
Kuruluşların, düzeltme süresi, iyileştirme oranları ve genel maruz kalma penceresi gibi uygulama güvenliğiyle ilgili kritik ölçütleri geliştirmekte güçlük çekmesinin birden çok nedeni olabilir. Ancak Jones, ortak bir temanın, yazılım geliştirme ekiplerinin yeni uygulama özelliklerine ve işlevlerine güvenlikten daha fazla öncelik vermeye devam etmesi olduğunu söylüyor.
Birkaç güvenlik uzmanı, COVID-19 pandemisinden sonra birçok kuruluşta dijital öncelikli girişimlerin hızla benimsenmesinin son iki yılda eğilimi nasıl daha da kötüleştirdiğini belirtti.
ArmorCode ürün başkan yardımcısı Mark Lambert, “AppSec ekiplerinin sayısı 1’e 100’den fazla” diyor. Geliştirme ve güvenlik ekipleri de sessiz kalmaya ve bağlantılarının kesilmesine devam ediyor, diyor.
Lambert, “Bu, sürümlerin bilinen güvenlik açıklarıyla hızlı ve öfkeli bir şekilde kapıdan çıkmasına neden oluyor” diyor. “Yeni güvenlik açıkları belirlendiğinde, ekiplerin yanıt vermek için mücadele etmesi gerekiyor.”
Güvenlik Açığı İş Listesi
Pathlock başkanı Kevin Dunne başka bir soruna işaret ediyor: uygulama kodundaki güvenlik açığı keşiflerinde devam eden büyüme.
“Bilgisayar korsanları daha aktif hale geldikçe ve daha kritik sistemler ve siteler halka açık Web’e taşındıkça, güvenlik açıklarının sayısı artmaya devam ediyor” diyerek, birçok şirketin çözülmesi gereken bir dizi güvenlik açığına ayak uydurmak için mücadele ettiğini de sözlerine ekledi.
NTT’nin verileri ayrıca, kamuoyunun ve medyanın ilgisinin, geçen yıl en azından bir dereceye kadar güvenlik açığı iyileştirme kararlarını etkilemiş olabileceğini gösteriyor. Örneğin, kuruluşların kritik kusurları 2021’de düzeltmeleri ortalama 193.1 gün sürdü ve bu – 2020’de aldığı 194.8 günden çok daha iyi olmasa da – yine de 1,7 gün daha hızlıydı. Aynı zamanda, diğer daha az ciddi kusurlar için düzeltme süresi oranları geçen yıl tersine bir eğilim gösterdi.
Kuruluşların yüksek, orta ve düşük önemdeki kusurları 2021’de düzeltmeleri, 2020’ye göre ortalama olarak daha uzun sürdü.
Jones, uygulama güvenlik ekiplerinin bir kusur sınıfına diğerlerinden daha fazla odaklandığında ortaya çıkan sonuçların bunlar olduğunu söylüyor. “Veriler, kritik bir güvenlik açığını düzeltmek için gereken süredeki azalmanın, genellikle daha az ciddi – yine de ciddi – güvenlik açıklarını gidermenin ne kadar süreceğinin artmasıyla ilişkili olduğunu gösteriyor” diyor.
Web uygulama ortamlarındaki en yaygın güvenlik açığı sınıfı, son olarak veri sızıntısı, yetersiz aktarım katmanı koruması, siteler arası komut dosyası çalıştırma, siteler arası sahtecilik, içerik sahtekarlığı ve yetersiz yetkilendirmeyi içeriyordu.