Publicado el

Resumen del editor: Con el aumento de las infracciones de seguridad cibernética debido a amenazas externas, así como a problemas de calidad del software, existe una necesidad imperiosa de tomar en serio una Lista de materiales de software (SBOM). Y con el fenómeno de la FMH (trabajar desde casa) que todavía obliga a muchas personas a trabajar de forma remota, los desafíos del almacenamiento de datos inseguro y las vulnerabilidades de comunicación se han intensificado, ya que las oficinas tienden a tener más defensas y controles perimetrales. El comunicado del proveedor se encuentra a continuación.

La investigación de Synopsys encuentra vulnerabilidades en el 97% de las aplicaciones, 36% impactadas por vulnerabilidades críticas o de alto riesgo

El informe Instantáneo de vulnerabilidades de software de 2021 examina la prevalencia de las vulnerabilidades identificadas por los servicios de pruebas de seguridad de aplicaciones de Synopsys.

SINGAPUR, @mcgallen #microwireinfo, 17 de noviembre de 2021 - Synopsys, Inc. (Nasdaq: SNPS) publicó hoy "Instantánea de vulnerabilidad de software de 2021: un análisis de Synopsys Application Security Testing Services, ”Un informe que examina datos de 3,900 pruebas realizadas en 2,600 objetivos (es decir, software o sistemas) durante 2020. Los datos, compilados por pruebas realizadas por consultores de seguridad de Synopsys en nuestros centros de evaluación para nuestros clientes, incluyeron pruebas de penetración, pruebas de seguridad de aplicaciones dinámicas y análisis de seguridad de aplicaciones móviles, diseñados para sondear aplicaciones en ejecución como lo haría un atacante del mundo real.

El 12% de los objetivos probados eran aplicaciones o sistemas web, el XNUMX% eran aplicaciones móviles y el resto eran código fuente o sistemas / aplicaciones de red. Las industrias representadas en las pruebas incluyeron software e Internet, servicios financieros, servicios comerciales, fabricación, medios y entretenimiento, y atención médica.

“Las implementaciones basadas en la nube, los marcos de tecnología moderna y el rápido ritmo de entrega están obligando a los grupos de seguridad a reaccionar más rápidamente a medida que se lanza el software”, dijo Girish Janardhanudu, vicepresidente de consultoría de seguridad de Synopsys Software Integrity Group. “Con suficientes recursos de AppSec en el mercado, las organizaciones están aprovechando los servicios de prueba de aplicaciones como los que ofrece Synopsys para escalar de manera flexible sus pruebas de seguridad. Hemos visto un fuerte aumento en la demanda de evaluaciones durante la pandemia ".

En las 3,900 pruebas realizadas, se encontró que el 97% de los objetivos tenían algún tipo de vulnerabilidad. El treinta por ciento de los objetivos tenían vulnerabilidades de alto riesgo y el 6% tenía vulnerabilidades de riesgo crítico. Los resultados demuestran que el mejor enfoque para las pruebas de seguridad es utilizar el amplio espectro de herramientas disponibles para ayudar a garantizar que una aplicación o sistema esté libre de vulnerabilidades. Por ejemplo, el 28% del total de objetivos de prueba tuvo alguna exposición a un ataque de secuencia de comandos entre sitios (XSS), una de las vulnerabilidades de alto / crítico riesgo más prevalentes y destructivas que afectan a las aplicaciones web. Muchas vulnerabilidades XSS ocurren solo cuando la aplicación se está ejecutando.

Otros aspectos destacados del informe

  • 2021 OWASP Las 10 principales vulnerabilidades se descubrieron en el 76% de los objetivos. Las configuraciones incorrectas de aplicaciones y servidores fueron el 21% de las vulnerabilidades generales encontradas en las pruebas, representadas por la categoría OWASP A05: 2021 - Configuración incorrecta de seguridad. Y el 19% del total de vulnerabilidades encontradas estaban relacionadas con la categoría OWASP A01: 2021 - Control de acceso roto.
  • Las vulnerabilidades de comunicación y almacenamiento de datos inseguros plagan las aplicaciones móviles.El ochenta por ciento de las vulnerabilidades descubiertas en las pruebas móviles estaban relacionadas con el almacenamiento de datos inseguro. Estas vulnerabilidades podrían permitir que un atacante obtenga acceso a un dispositivo móvil ya sea físicamente (es decir, accediendo a un dispositivo robado) o mediante malware. El cincuenta y tres por ciento de las pruebas móviles descubrieron vulnerabilidades asociadas con comunicaciones inseguras.
  • Incluso las vulnerabilidades de menor riesgo pueden explotarse para facilitar los ataques. El sesenta y cuatro por ciento de las vulnerabilidades descubiertas en las pruebas se consideran de riesgo mínimo, bajo o medio. Es decir, los atacantes no pueden explotar directamente los problemas encontrados para obtener acceso a sistemas o datos confidenciales. No obstante, sacar a la luz estas vulnerabilidades no es un ejercicio vacío, ya que incluso las vulnerabilidades de menor riesgo pueden explotarse para facilitar los ataques. Por ejemplo, los banners de servidor detallados, que se encuentran en el 49% de las pruebas, proporcionan información como el nombre del servidor, el tipo y el número de versión, lo que podría permitir a los atacantes realizar ataques dirigidos a pilas de tecnología específicas.
  • Necesidad urgente de una lista de materiales de software. Cabe destacar el número de bibliotecas de terceros vulnerables en uso, que se encuentran en el 18% de las pruebas de penetración realizadas por Synopsys Application Testing Services. Esto se corresponde con la categoría Top 2021 de OWASP de 10 A06: 2021 - Uso de componentes vulnerables y obsoletos. La mayoría de las organizaciones suelen utilizar una combinación de código personalizado, código comercial estándar y componentes de código abierto para crear el software que venden o utilizan internamente. A menudo, esas organizaciones tienen inventarios informales, o no tienen, que detallan exactamente qué componentes utiliza su software, así como las licencias, versiones y estado de los parches de esos componentes. Dado que muchas empresas tienen cientos de aplicaciones o sistemas de software en uso, y es probable que cada uno de ellos tenga cientos o miles de componentes de código abierto y de terceros diferentes, se necesita con urgencia una lista de materiales de software precisa y actualizada para realizar un seguimiento eficaz de esos componentes. .

Para obtener más información, descargue el "Instantánea de vulnerabilidad de software de 2021: un análisis de Synopsys Application Security Testing Services, "O lea el blog.

Acerca del grupo de integridad del software Synopsys

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en www.synopsys.com/software.

Sobre Synopsys

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como empresa S&P 500, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y ofrece la cartera más amplia de la industria de herramientas y servicios de prueba de seguridad de aplicaciones. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe código más seguro y de alta calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores. Obtenga más información en www.synopsys.com.

###