több a hiba, de kevésbé súlyos

by · Published · Updated

businessman showing virtual approved check mark

Bárki elvéthet valamit, de az hibává csak akkor válik, ha elmulasztja kijavítani.”

Timothy Zahn, amerikai író

Akár egyetlen sérülékenység egy alkalmazásban elég lehet ahhoz, hogy a kiberbűnözők támadást indítsanak a résen keresztül a vállalat informatikai rendszere ellen, és értékes adatokat lopjanak el, komoly károkat okozva ezzel. A Micro Focus legfrissebb kutatása szerint az elmúlt évben nőtt a sebezhetőségek száma, különösen a webes és mobilos alkalmazásoknál, az automatizált teszteszközök segítségével azonban jelentősen csökkenthetők a kockázatok.

A Micro Focus minden évben átfogó elemzést készít azokról a sebezhetőségekről, amelyeket ügyfelei a Fortify alkalmazásbiztonsági teszteszközök segítségével derítettek fel. A legfrissebb Application Security Risk Report jelentés szerint a szervezetek egyes területeken már hatékonyabban kezelik az alkalmazások biztonságát, de az éberségből továbbra sem engedhetnek.

Több a sebezhetőség, de nem olyan súlyosak

Tavaly jelentősen nőtt a feltérképezett és bejelentett sebezhetőségek száma, a súlyosságuk azonban összességében csökkent az utóbbi években. 2014 óta az elmúlt évben volt a legalacsonyabb (26 százalék) a nagyon súlyos kategóriába sorolható hibák aránya.

A Micro Focus szakértői szerint a felfedezett sebezhetőségek számának növekedése nem arra utal, hogy rosszabb szoftvereket készítenének a gyártók. Inkább azt mutatja, hogy egyre több helyen alkalmaznak olyan automatizált és hatékonyan működő, pontos találatokat adó eszközöket a sérülékenységek felderítésére, mint például a Fortify, ezért több hiba kerül napvilágra.

Veszély, webes alkalmazás a neved!

A Fortify on Demand által összegyűjtött adatok elemzése során a Micro Focus azt tapasztalta, hogy a több mint 11 000 vizsgált webes alkalmazás 94 százalékánál előfordult valamilyen sérülékenység a biztonsági funkciókban. Az adatokból ráadásul az is kiderül, hogy a hibák ismétlődnek, vagyis ugyanazok maradtak a leggyakoribb sebezhetőségek az elmúlt évek során. Az előző évek eredményeihez hasonlóan az alkalmazások 70 százalékánál fordult elő beágyazási, 60 százalékánál pedig bemeneti validációs hiba, míg 35 százaléknál az API-val való visszaélésre is lehetőséget nyitott egy-egy sebezhetőség.

Mobil alkalmazások: belépési pont a felhőszolgáltatásba

A kutatás során 700 mobilalkalmazás adatait is megvizsgálták a Micro Focus szakértői, és arra a megállapításra jutottak, hogy a fejlesztők előrelépést mutattak néhány hibával kapcsolatban, például a találgatásos támadást (brute force) lehetővé tévő sebezhetőségek száma csökkent. Összességében azonban itt is nőtt a sérülékenységek száma. A biztonsági funkciókkal szinte az összes alkalmazás esetében (96%) akadt probléma, beágyazási problémák 79 százalékukat érintették, míg 68 százalékuknál bemeneti validálási hibák fordultak elő.

A szakértők megfigyelései szerint a kiberbűnözők egyre komolyabb figyelmet és energiát fordítanak arra, hogy mobilalkalmazásokat törjenek fel a közvetlen haszonszerzésért vagy azért, hogy bemeneti pontként használják azokat a felhőszolgáltatások megtámadására. Ezért különösen fontos, hogy a fejlesztők is nagyobb hangsúlyt helyezzenek a mobilalkalmazások sérülékenységeinek feltérképezésére és javítására.

Hódít a DevOps

A Micro Focus elemzése arra is rávilágított, hogy a vizsgált szervezetek 75 százaléka alkalmaz DevOps megközelítést vagy tervezi az erre történő átállást. Egyre több helyen elemzik, hogy mikor és milyen technológiákkal érdemes kutatni és javítani a különféle alkalmazásbiztonsági kockázatokat. A kutatás szerint a szervezetek több mint fele (58%) a fejlesztési folyamat minden szakaszában teszteli a kódot, míg 30 százalékuk minden egyes kódváltoztatás után tesztet végez.

Nem elég a bug bounty program

Egyre nagyobb népszerűségnek örvendenek a közösségi bug bounty programok. Vállalatok százai indítanak ilyen kezdeményezéseket azzal a várakozással, hogy ha szakértők tömegei vizsgálják a termékeket a jutalom reményében, akkor még több sebezhetőséget fedeznek fel, és így még biztonságosabbá tehetik megoldásaikat. A valóság azonban az, hogy a tavaly felfedezett sebezhetőségeknek mindössze 4,3 százaléka származott ilyen programokból.

A Micro Focus szakértői szerint az ilyen módszerek is értékes eszközök lehetnek, ha helyesen használják őket. Nem helyettesítik azonban az átfogó alkalmazásbiztonsági programot, illetve a gyakori tesztelést, amelyek egyszerűen kivitelezhetők olyan automatizált eszközök segítségével, mint például a Fortify.

Tags: