Veröffentlicht am

Kurzfassung des Herausgebers: Angesichts zunehmender Cybersicherheitsverletzungen aufgrund externer Bedrohungen sowie von Problemen mit der Softwarequalität besteht die dringende Notwendigkeit, mit einer Software Bill of Materials (SBOM) ernsthaft vorzugehen. Und da das WFH-Phänomen (Work-from-Home) immer noch viele Mitarbeiter dazu zwingt, aus der Ferne zu arbeiten, sind die Herausforderungen der unsicheren Datenspeicherung und der Kommunikationsschwachstellen eskaliert, da Büros in der Regel über mehr Perimeterschutz und -kontrollen verfügen. Die Freigabe des Anbieters ist unten.

Synopsys Forschung findet Schwachstellen in 97 % der Anwendungen, von denen 36 % von kritischen oder hochriskanten Schwachstellen betroffen sind

2021 Software Vulnerability Snapshot Report untersucht die Prävalenz von Schwachstellen, die von identifiziert wurden Synopsys Testdienste für Anwendungssicherheit

SINGAPUR, @mcgallen #microwireinfo, 17. November 2021 - Synopsys, Inc. (Nasdaq: SNPS) heute veröffentlicht “2021 Software Vulnerability Snapshot: Eine Analyse von Synopsys Testdienste für Anwendungssicherheit“, ein Bericht, der Daten aus 3,900 Tests untersucht, die im Jahr 2,600 an 2020 Zielen (dh Software oder Systemen) durchgeführt wurden. Die Daten wurden durch Tests zusammengestellt, die von durchgeführt wurden Synopsys Sicherheitsberater in unseren Assessment-Centern für unsere Kunden umfassten Penetrationstests, dynamische Anwendungssicherheitstests und Sicherheitsanalysen für mobile Anwendungen, die darauf ausgelegt sind, laufende Anwendungen so zu untersuchen, wie es ein echter Angreifer tun würde.

12 % der getesteten Ziele waren Webanwendungen oder -systeme, XNUMX % mobile Anwendungen und der Rest entweder Quellcode oder Netzwerksysteme/-anwendungen. Zu den in den Tests vertretenen Branchen gehörten Software und Internet, Finanzdienstleistungen, Unternehmensdienstleistungen, Fertigung, Medien und Unterhaltung sowie Gesundheitswesen.

„Cloud-basierte Bereitstellungen, moderne Technologie-Frameworks und das schnelle Bereitstellungstempo zwingen Sicherheitsgruppen, schneller zu reagieren, wenn Software veröffentlicht wird“, sagte Girish Janardhanudu, Vice President, Security Consulting bei Synopsys Softwareintegritätsgruppe. „Angesichts unzureichender AppSec-Ressourcen auf dem Markt nutzen Unternehmen solche Anwendungstestdienste Synopsys bietet, um ihre Sicherheitstests flexibel zu skalieren. Wir haben während der Pandemie einen starken Anstieg der Bewertungsnachfrage erlebt.“

In den 3,900 durchgeführten Tests wurde festgestellt, dass 97% der Ziele irgendeine Form von Schwachstelle aufweisen. Dreißig Prozent der Ziele wiesen Sicherheitslücken mit hohem Risiko auf, und 6 % wiesen Sicherheitslücken mit kritischem Risiko auf. Die Ergebnisse zeigen, dass der beste Ansatz für Sicherheitstests darin besteht, das breite Spektrum an verfügbaren Tools zu nutzen, um sicherzustellen, dass eine Anwendung oder ein System frei von Schwachstellen ist. 28 % der gesamten Testziele waren beispielsweise einem Cross-Site-Scripting-Angriff (XSS) ausgesetzt, einer der am weitesten verbreiteten und zerstörerischen Schwachstellen mit hohem/kritischem Risiko, die sich auf Webanwendungen auswirken. Viele XSS-Schwachstellen treten nur auf, wenn die Anwendung ausgeführt wird.

Weitere Berichtshighlights

  • 2021 OWASP Top 10 Schwachstellen wurden in 76 % der Ziele entdeckt. Anwendungs- und Server-Fehlkonfigurationen machten 21 % der gesamten in den Tests gefundenen Schwachstellen aus, repräsentiert durch die Kategorie OWASP A05:2021 – Security Misconfiguration. Und 19% der insgesamt gefundenen Schwachstellen bezogen sich auf die Kategorie OWASP A01:2021 – Broken Access Control.
  • Unsichere Datenspeicherung und Kommunikationsschwachstellen plagen mobile Anwendungen.Achtzig Prozent der entdeckten Schwachstellen in den mobilen Tests standen im Zusammenhang mit der unsicheren Datenspeicherung. Diese Schwachstellen könnten es einem Angreifer ermöglichen, entweder physisch (dh Zugriff auf ein gestohlenes Gerät) oder durch Malware auf ein mobiles Gerät zuzugreifen. XNUMX Prozent der mobilen Tests deckten Schwachstellen im Zusammenhang mit unsicherer Kommunikation auf.
  • Auch Schwachstellen mit geringerem Risiko können ausgenutzt werden, um Angriffe zu erleichtern. 49 Prozent der in den Tests entdeckten Schwachstellen werden als minimales, niedriges oder mittleres Risiko eingestuft. Das heißt, die gefundenen Probleme können von Angreifern nicht direkt ausgenutzt werden, um Zugang zu Systemen oder sensiblen Daten zu erhalten. Das Aufdecken dieser Schwachstellen ist jedoch keine leere Übung, da auch Schwachstellen mit geringerem Risiko ausgenutzt werden können, um Angriffe zu erleichtern. Ausführliche Serverbanner, die in XNUMX % der Tests gefunden wurden, liefern beispielsweise Informationen wie Servername, Typ und Versionsnummer, die es Angreifern ermöglichen könnten, gezielte Angriffe auf bestimmte Technologie-Stacks durchzuführen.
  • Dringende Notwendigkeit für eine Software-Stückliste. Bemerkenswert war die Anzahl der verwendeten anfälligen Bibliotheken von Drittanbietern, die in 18 % der von durchgeführten Penetrationstests gefunden wurden Synopsys Anwendungstestdienste. Dies entspricht der Kategorie A2021:10 – Use of Vulnerable and Outdated Components der OWASP Top 06 2021. Die meisten Organisationen verwenden in der Regel eine Mischung aus benutzerdefiniertem Code, kommerziellem Standardcode und Open-Source-Komponenten, um die Software zu erstellen, die sie verkaufen oder intern verwenden. Oft verfügen diese Organisationen über informelle – oder gar keine – Inventare, die genau beschreiben, welche Komponenten ihre Software verwendet, sowie die Lizenzen, Versionen und den Patch-Status dieser Komponenten. Da viele Unternehmen Hunderte von Anwendungen oder Softwaresystemen im Einsatz haben und jedes selbst wahrscheinlich Hunderte bis Tausende verschiedener Drittanbieter- und Open-Source-Komponenten hat, ist eine genaue, aktuelle Software-Stückliste dringend erforderlich, um diese Komponenten effektiv zu verfolgen .

Um mehr zu erfahren, laden Sie die „2021 Software Vulnerability Snapshot: Eine Analyse von Synopsys Testdienste für Anwendungssicherheit“ oder lesen Sie die Blog-Post.

Über die Synopsys Softwareintegritätsgruppe

Synopsys Die Software Integrity Group hilft Entwicklungsteams, sichere, qualitativ hochwertige Software zu entwickeln, Risiken zu minimieren und gleichzeitig Geschwindigkeit und Produktivität zu maximieren. Synopsys, ein anerkannter Marktführer im Bereich Anwendungssicherheit, bietet Lösungen für statische Analysen, Softwarezusammensetzungen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open-Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Nur mit einer Kombination aus branchenführenden Tools, Services und Fachwissen Synopsys unterstützt Unternehmen bei der Optimierung von Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung. Erfahren Sie mehr unter www.synopsys.com/Software.

Über mypinio Synopsys

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software™-Partner für innovative Unternehmen, die elektronische Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als S&P 500-Unternehmen Synopsys blickt auf eine lange Geschichte als weltweit führendes Unternehmen in den Bereichen Electronic Design Automation (EDA) und Halbleiter-IP zurück und bietet das branchenweit breiteste Portfolio an Tools und Dienstleistungen für Anwendungssicherheitstests. Egal, ob Sie ein System-on-Chip (SoC)-Designer sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der sichereren, qualitativ hochwertigen Code schreibt, Synopsys hat die Lösungen, die für die Lieferung innovativer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com €XNUMX.

###