Yeni araştırmalar, endişe verici miktarda yaygın olarak kullanılan uygulamaların, özellikle teknoloji sektöründeki şirketler tarafından kullanılanların, yüksek düzeyde güvenlik açıklarına sahip olduğunu buldu.
Veracode’un teknoloji, üretim, perakende, finansal hizmetler, sağlık ve devlet sektörlerindeki yarım milyon uygulamada 20 milyon taramayı analiz eden bir raporu, teknoloji sektöründeki uygulamaların %24’ünün yüksek önem dereceli kusurlar taşıdığını ortaya koydu.
Nispeten bu, güvenlik kusurları olan uygulamaların ikinci en yüksek oranı (%79) ve yalnızca kamu sektörü daha kötü durumda (%82).
kusurları düzeltmek
En yaygın güvenlik açığı türleri arasında sunucu yapılandırmaları, güvenli olmayan bağımlılıklar ve bilgi sızıntısı yer alıyor, rapor ayrıca bu bulguların diğer sektörlere benzer bir modeli “geniş ölçüde izlediğini” söylüyor. Bununla birlikte, kriptografik sorunlar ve bilgi sızıntısı söz konusu olduğunda sektör, sektör ortalamasından en yüksek eşitsizliğe sahiptir ve bu da araştırmacıları, teknoloji endüstrisindeki devlerin veri koruma zorluklarında nasıl daha tasarruflu olduğunu tahmin etmeye sevk etmektedir.
Düzeltilen sorunların sayısı söz konusu olduğunda, teknoloji sektörü ortada bir yerdedir. Yine de şirketler sorunları çözmek için nispeten hızlı. Kusurların %50’sini düzeltmeleri 363 gün kadar sürer. Bu, ortalamadan daha iyi olsa da, iyileştirme için hala çok yer var, diye ekledi Veracode.
Veracode Baş Araştırma Görevlisi Chris Eng için mesele sadece kusurları keşfetmek değil, aynı zamanda en başta koda dahil edilen kusurların sayısını azaltmaktır. Ayrıca, işletmelerin güvenlik testi otomasyonuna daha fazla odaklanması gerektiğine inanıyor.
“Log4j, geçen Aralık ayında birçok kuruluş için bir uyandırma çağrısı yaptı. Bunu, her ikisi de tedarik zinciri odaklı olan Yönetim ve Bütçe Ofisi (OMB) ve Avrupa Siber Direnç Yasası’nın rehberliği şeklinde hükümet eylemi izledi” dedi. “Önümüzdeki yıl performansını artırmak için teknoloji işletmeleri, yalnızca geliştiricilerin koda dahil edilen kusur oranını azaltmasına yardımcı olan stratejiler düşünmemeli, aynı zamanda Sürekli Entegrasyon/Sürekli Teslimat (CI/CD) boru hattındaki güvenlik testlerini otomatikleştirmeye daha fazla önem vermelidir. verimliliği artırmak için.”
Siber suçlular genellikle işletmeler tarafından kullanılan internete dönük uygulamaları koddaki güvenlik açıkları ve kusurlar açısından analiz eder. Bir tane bulduklarında, genellikle daha sonra şirket ağına ve uç noktalara erişmelerini sağlayan web kabuklarını dağıtmak için kullanırlar. (yeni sekmede açılır). Ağın haritasını çıkardıktan ve tüm cihazları ve verileri tanımladıktan sonra, genellikle fidye yazılımı, kötü amaçlı yazılım veya veri silecekleri olan saldırının ikinci aşamasını başlatabilirler.