Veröffentlicht am

Kurzfassung des Herausgebers: Angesichts zunehmender Cybersicherheitsverletzungen aufgrund externer Bedrohungen sowie von Problemen mit der Softwarequalität besteht die dringende Notwendigkeit, mit einer Software Bill of Materials (SBOM) ernsthaft vorzugehen. Und da das WFH-Phänomen (Work-from-Home) immer noch viele Mitarbeiter dazu zwingt, aus der Ferne zu arbeiten, sind die Herausforderungen der unsicheren Datenspeicherung und der Kommunikationsschwachstellen eskaliert, da Büros in der Regel über mehr Perimeterschutz und -kontrollen verfügen. Die Freigabe des Anbieters ist unten.

Synopsys Research findet Schwachstellen in 97 % der Anwendungen, 36 % sind von kritischen oder hochriskanten Schwachstellen betroffen

Der Software-Schwachstellen-Snapshot-Bericht 2021 untersucht die Prävalenz von Schwachstellen, die von den Synopsys Application Security Testing Services identifiziert wurden

SINGAPUR, @mcgallen #microwireinfo, 17. November 2021 - Synopsys, Inc. (Nasdaq: SNPS) heute veröffentlicht “Software-Schwachstellen-Snapshot 2021: Eine Analyse von Synopsys Application Security Testing Services”, ein Bericht, der Daten aus 3,900 Tests untersucht, die im Jahr 2,600 an 2020 Zielen (dh Software oder Systemen) durchgeführt wurden. Die Daten, die durch Tests zusammengestellt wurden, die von Synopsys-Sicherheitsberatern in unseren Assessment Centern für unsere Kunden durchgeführt wurden, umfassten Penetrationstests, dynamische Anwendungssicherheitstests , und Sicherheitsanalysen für mobile Anwendungen, die darauf ausgelegt sind, laufende Anwendungen so zu untersuchen, wie es ein realer Angreifer tun würde.

12 % der getesteten Ziele waren Webanwendungen oder -systeme, XNUMX % mobile Anwendungen und der Rest entweder Quellcode oder Netzwerksysteme/-anwendungen. Zu den in den Tests vertretenen Branchen gehörten Software und Internet, Finanzdienstleistungen, Unternehmensdienstleistungen, Fertigung, Medien und Unterhaltung sowie Gesundheitswesen.

„Cloud-basierte Bereitstellungen, moderne Technologie-Frameworks und das schnelle Bereitstellungstempo zwingen Sicherheitsgruppen, schneller zu reagieren, wenn Software veröffentlicht wird“, sagte Girish Janardhanudu, Vice President, Security Consulting bei Synopsys Software Integrity Group. „Mit unzureichenden AppSec-Ressourcen auf dem Markt nutzen Unternehmen Anwendungstestdienste wie die von Synopsys, um ihre Sicherheitstests flexibel zu skalieren. Wir haben während der gesamten Pandemie einen starken Anstieg der Nachfrage nach Bewertungen festgestellt.“

In den 3,900 durchgeführten Tests wurde festgestellt, dass 97% der Ziele irgendeine Form von Schwachstelle aufweisen. Dreißig Prozent der Ziele wiesen Sicherheitslücken mit hohem Risiko auf, und 6 % wiesen Sicherheitslücken mit kritischem Risiko auf. Die Ergebnisse zeigen, dass der beste Ansatz für Sicherheitstests darin besteht, das breite Spektrum an verfügbaren Tools zu nutzen, um sicherzustellen, dass eine Anwendung oder ein System frei von Schwachstellen ist. 28 % der gesamten Testziele waren beispielsweise einem Cross-Site-Scripting-Angriff (XSS) ausgesetzt, einer der am weitesten verbreiteten und zerstörerischen Schwachstellen mit hohem/kritischem Risiko, die sich auf Webanwendungen auswirken. Viele XSS-Schwachstellen treten nur auf, wenn die Anwendung ausgeführt wird.

Weitere Berichtshighlights

  • 2021 OWASP Top 10 Schwachstellen wurden in 76 % der Ziele entdeckt. Anwendungs- und Server-Fehlkonfigurationen machten 21 % der gesamten in den Tests gefundenen Schwachstellen aus, repräsentiert durch die Kategorie OWASP A05:2021 – Security Misconfiguration. Und 19% der insgesamt gefundenen Schwachstellen bezogen sich auf die Kategorie OWASP A01:2021 – Broken Access Control.
  • Unsichere Datenspeicherung und Kommunikationsschwachstellen plagen mobile Anwendungen.Achtzig Prozent der entdeckten Schwachstellen in den mobilen Tests standen im Zusammenhang mit der unsicheren Datenspeicherung. Diese Schwachstellen könnten es einem Angreifer ermöglichen, entweder physisch (dh Zugriff auf ein gestohlenes Gerät) oder durch Malware auf ein mobiles Gerät zuzugreifen. XNUMX Prozent der mobilen Tests deckten Schwachstellen im Zusammenhang mit unsicherer Kommunikation auf.
  • Auch Schwachstellen mit geringerem Risiko können ausgenutzt werden, um Angriffe zu erleichtern. 49 Prozent der in den Tests entdeckten Schwachstellen werden als minimales, niedriges oder mittleres Risiko eingestuft. Das heißt, die gefundenen Probleme können von Angreifern nicht direkt ausgenutzt werden, um Zugang zu Systemen oder sensiblen Daten zu erhalten. Das Aufdecken dieser Schwachstellen ist jedoch keine leere Übung, da auch Schwachstellen mit geringerem Risiko ausgenutzt werden können, um Angriffe zu erleichtern. Ausführliche Serverbanner, die in XNUMX % der Tests gefunden wurden, liefern beispielsweise Informationen wie Servername, Typ und Versionsnummer, die es Angreifern ermöglichen könnten, gezielte Angriffe auf bestimmte Technologie-Stacks durchzuführen.
  • Dringende Notwendigkeit für eine Software-Stückliste. Bemerkenswert war die Anzahl der verwendeten anfälligen Bibliotheken von Drittanbietern, die in 18% der von Synopsys Application Testing Services durchgeführten Penetrationstests gefunden wurden. Dies entspricht der OWASP Top 2021 Kategorie 10 A06:2021 – Verwendung von gefährdeten und veralteten Komponenten. Die meisten Unternehmen verwenden in der Regel eine Mischung aus benutzerdefiniertem Code, kommerziellem Standardcode und Open-Source-Komponenten, um die Software zu erstellen, die sie verkaufen oder intern verwenden. Häufig verfügen diese Organisationen über informelle – oder keine – Inventare, in denen genau beschrieben ist, welche Komponenten ihre Software verwendet, sowie die Lizenzen, Versionen und der Patch-Status dieser Komponenten. Da viele Unternehmen Hunderte von Anwendungen oder Softwaresystemen im Einsatz haben, von denen jedes selbst wahrscheinlich Hunderte bis Tausende von verschiedenen Drittanbieter- und Open-Source-Komponenten hat, wird dringend eine genaue, aktuelle Software-Stückliste benötigt, um diese Komponenten effektiv zu verfolgen .

Um mehr zu erfahren, laden Sie die „Software-Schwachstellen-Snapshot 2021: Eine Analyse von Synopsys Application Security Testing Services“ oder lesen Sie die Blog-Post.

Informationen zur Synopsys Software Integrity Group

Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter www.synopsys.com/software.

Über Synopsys

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als S & P 500-Unternehmen ist Synopsys seit langem ein weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und bietet das branchenweit breiteste Portfolio an Tools und Services für Tests zur Anwendungssicherheit. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter herstellt, oder ein Softwareentwickler, der sichereren und qualitativ hochwertigen Code schreibt, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer Produkte erforderlich sind. Erfahren Sie mehr unter www.synopsys.com.

###