több a hiba, de kevésbé súlyos
„Bárki elvéthet valamit, de az hibává csak akkor válik, ha elmulasztja kijavítani.”
Timothy Zahn, amerikai író
Akár egyetlen sérülékenység egy alkalmazásban elég lehet ahhoz, hogy a kiberbűnözők támadást indítsanak a résen keresztül a vállalat informatikai rendszere ellen, és értékes adatokat lopjanak el, komoly károkat okozva ezzel. A Micro Focus legfrissebb kutatása szerint az elmúlt évben nőtt a sebezhetőségek száma, különösen a webes és mobilos alkalmazásoknál, az automatizált teszteszközök segítségével azonban jelentősen csökkenthetők a kockázatok.
A Micro Focus minden évben átfogó elemzést készít azokról a sebezhetőségekről, amelyeket ügyfelei a Fortify alkalmazásbiztonsági teszteszközök segítségével derítettek fel. A legfrissebb Application Security Risk Report jelentés szerint a szervezetek egyes területeken már hatékonyabban kezelik az alkalmazások biztonságát, de az éberségből továbbra sem engedhetnek.
Több a sebezhetőség, de nem olyan súlyosak
Tavaly jelentősen nőtt a feltérképezett és bejelentett sebezhetőségek száma, a súlyosságuk azonban összességében csökkent az utóbbi években. 2014 óta az elmúlt évben volt a legalacsonyabb (26 százalék) a nagyon súlyos kategóriába sorolható hibák aránya.
A Micro Focus szakértői szerint a felfedezett sebezhetőségek számának növekedése nem arra utal, hogy rosszabb szoftvereket készítenének a gyártók. Inkább azt mutatja, hogy egyre több helyen alkalmaznak olyan automatizált és hatékonyan működő, pontos találatokat adó eszközöket a sérülékenységek felderítésére, mint például a Fortify, ezért több hiba kerül napvilágra.
Veszély, webes alkalmazás a neved!
A Fortify on Demand által összegyűjtött adatok elemzése során a Micro Focus azt tapasztalta, hogy a több mint 11 000 vizsgált webes alkalmazás 94 százalékánál előfordult valamilyen sérülékenység a biztonsági funkciókban. Az adatokból ráadásul az is kiderül, hogy a hibák ismétlődnek, vagyis ugyanazok maradtak a leggyakoribb sebezhetőségek az elmúlt évek során. Az előző évek eredményeihez hasonlóan az alkalmazások 70 százalékánál fordult elő beágyazási, 60 százalékánál pedig bemeneti validációs hiba, míg 35 százaléknál az API-val való visszaélésre is lehetőséget nyitott egy-egy sebezhetőség.
Mobil alkalmazások: belépési pont a felhőszolgáltatásba
A kutatás során 700 mobilalkalmazás adatait is megvizsgálták a Micro Focus szakértői, és arra a megállapításra jutottak, hogy a fejlesztők előrelépést mutattak néhány hibával kapcsolatban, például a találgatásos támadást (brute force) lehetővé tévő sebezhetőségek száma csökkent. Összességében azonban itt is nőtt a sérülékenységek száma. A biztonsági funkciókkal szinte az összes alkalmazás esetében (96%) akadt probléma, beágyazási problémák 79 százalékukat érintették, míg 68 százalékuknál bemeneti validálási hibák fordultak elő.
A szakértők megfigyelései szerint a kiberbűnözők egyre komolyabb figyelmet és energiát fordítanak arra, hogy mobilalkalmazásokat törjenek fel a közvetlen haszonszerzésért vagy azért, hogy bemeneti pontként használják azokat a felhőszolgáltatások megtámadására. Ezért különösen fontos, hogy a fejlesztők is nagyobb hangsúlyt helyezzenek a mobilalkalmazások sérülékenységeinek feltérképezésére és javítására.
Hódít a DevOps
A Micro Focus elemzése arra is rávilágított, hogy a vizsgált szervezetek 75 százaléka alkalmaz DevOps megközelítést vagy tervezi az erre történő átállást. Egyre több helyen elemzik, hogy mikor és milyen technológiákkal érdemes kutatni és javítani a különféle alkalmazásbiztonsági kockázatokat. A kutatás szerint a szervezetek több mint fele (58%) a fejlesztési folyamat minden szakaszában teszteli a kódot, míg 30 százalékuk minden egyes kódváltoztatás után tesztet végez.
Nem elég a bug bounty program
Egyre nagyobb népszerűségnek örvendenek a közösségi bug bounty programok. Vállalatok százai indítanak ilyen kezdeményezéseket azzal a várakozással, hogy ha szakértők tömegei vizsgálják a termékeket a jutalom reményében, akkor még több sebezhetőséget fedeznek fel, és így még biztonságosabbá tehetik megoldásaikat. A valóság azonban az, hogy a tavaly felfedezett sebezhetőségeknek mindössze 4,3 százaléka származott ilyen programokból.
A Micro Focus szakértői szerint az ilyen módszerek is értékes eszközök lehetnek, ha helyesen használják őket. Nem helyettesítik azonban az átfogó alkalmazásbiztonsági programot, illetve a gyakori tesztelést, amelyek egyszerűen kivitelezhetők olyan automatizált eszközök segítségével, mint például a Fortify.