We value your privacy

We use cookies to enhance your browsing experience, serve personalized ads or content, and analyze our traffic. By clicking "Accept All", you consent to our use of cookies.

Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

több a hiba, de kevésbé súlyos

by · Published · Updated

businessman showing virtual approved check mark

Bárki elvéthet valamit, de az hibává csak akkor válik, ha elmulasztja kijavítani.”

Timothy Zahn, amerikai író

Akár egyetlen sérülékenység egy alkalmazásban elég lehet ahhoz, hogy a kiberbűnözők támadást indítsanak a résen keresztül a vállalat informatikai rendszere ellen, és értékes adatokat lopjanak el, komoly károkat okozva ezzel. A Micro Focus legfrissebb kutatása szerint az elmúlt évben nőtt a sebezhetőségek száma, különösen a webes és mobilos alkalmazásoknál, az automatizált teszteszközök segítségével azonban jelentősen csökkenthetők a kockázatok.

A Micro Focus minden évben átfogó elemzést készít azokról a sebezhetőségekről, amelyeket ügyfelei a Fortify alkalmazásbiztonsági teszteszközök segítségével derítettek fel. A legfrissebb Application Security Risk Report jelentés szerint a szervezetek egyes területeken már hatékonyabban kezelik az alkalmazások biztonságát, de az éberségből továbbra sem engedhetnek.

Több a sebezhetőség, de nem olyan súlyosak

Tavaly jelentősen nőtt a feltérképezett és bejelentett sebezhetőségek száma, a súlyosságuk azonban összességében csökkent az utóbbi években. 2014 óta az elmúlt évben volt a legalacsonyabb (26 százalék) a nagyon súlyos kategóriába sorolható hibák aránya.

A Micro Focus szakértői szerint a felfedezett sebezhetőségek számának növekedése nem arra utal, hogy rosszabb szoftvereket készítenének a gyártók. Inkább azt mutatja, hogy egyre több helyen alkalmaznak olyan automatizált és hatékonyan működő, pontos találatokat adó eszközöket a sérülékenységek felderítésére, mint például a Fortify, ezért több hiba kerül napvilágra.

Veszély, webes alkalmazás a neved!

A Fortify on Demand által összegyűjtött adatok elemzése során a Micro Focus azt tapasztalta, hogy a több mint 11 000 vizsgált webes alkalmazás 94 százalékánál előfordult valamilyen sérülékenység a biztonsági funkciókban. Az adatokból ráadásul az is kiderül, hogy a hibák ismétlődnek, vagyis ugyanazok maradtak a leggyakoribb sebezhetőségek az elmúlt évek során. Az előző évek eredményeihez hasonlóan az alkalmazások 70 százalékánál fordult elő beágyazási, 60 százalékánál pedig bemeneti validációs hiba, míg 35 százaléknál az API-val való visszaélésre is lehetőséget nyitott egy-egy sebezhetőség.

Mobil alkalmazások: belépési pont a felhőszolgáltatásba

A kutatás során 700 mobilalkalmazás adatait is megvizsgálták a Micro Focus szakértői, és arra a megállapításra jutottak, hogy a fejlesztők előrelépést mutattak néhány hibával kapcsolatban, például a találgatásos támadást (brute force) lehetővé tévő sebezhetőségek száma csökkent. Összességében azonban itt is nőtt a sérülékenységek száma. A biztonsági funkciókkal szinte az összes alkalmazás esetében (96%) akadt probléma, beágyazási problémák 79 százalékukat érintették, míg 68 százalékuknál bemeneti validálási hibák fordultak elő.

A szakértők megfigyelései szerint a kiberbűnözők egyre komolyabb figyelmet és energiát fordítanak arra, hogy mobilalkalmazásokat törjenek fel a közvetlen haszonszerzésért vagy azért, hogy bemeneti pontként használják azokat a felhőszolgáltatások megtámadására. Ezért különösen fontos, hogy a fejlesztők is nagyobb hangsúlyt helyezzenek a mobilalkalmazások sérülékenységeinek feltérképezésére és javítására.

Hódít a DevOps

A Micro Focus elemzése arra is rávilágított, hogy a vizsgált szervezetek 75 százaléka alkalmaz DevOps megközelítést vagy tervezi az erre történő átállást. Egyre több helyen elemzik, hogy mikor és milyen technológiákkal érdemes kutatni és javítani a különféle alkalmazásbiztonsági kockázatokat. A kutatás szerint a szervezetek több mint fele (58%) a fejlesztési folyamat minden szakaszában teszteli a kódot, míg 30 százalékuk minden egyes kódváltoztatás után tesztet végez.

Nem elég a bug bounty program

Egyre nagyobb népszerűségnek örvendenek a közösségi bug bounty programok. Vállalatok százai indítanak ilyen kezdeményezéseket azzal a várakozással, hogy ha szakértők tömegei vizsgálják a termékeket a jutalom reményében, akkor még több sebezhetőséget fedeznek fel, és így még biztonságosabbá tehetik megoldásaikat. A valóság azonban az, hogy a tavaly felfedezett sebezhetőségeknek mindössze 4,3 százaléka származott ilyen programokból.

A Micro Focus szakértői szerint az ilyen módszerek is értékes eszközök lehetnek, ha helyesen használják őket. Nem helyettesítik azonban az átfogó alkalmazásbiztonsági programot, illetve a gyakori tesztelést, amelyek egyszerűen kivitelezhetők olyan automatizált eszközök segítségével, mint például a Fortify.

Tags: