программное обеспечение

SynopsysИсследование выявило уязвимости программного обеспечения 2021 года в отчете о моментальных снимках

Краткий обзор редактора: в связи с растущим числом нарушений кибербезопасности из-за внешних угроз, а также проблем с качеством программного обеспечения существует острая необходимость серьезно отнестись к спецификации программного обеспечения (SBOM). А поскольку явление WFH (работа из дома) по-прежнему вынуждает многих людей работать удаленно, проблемы небезопасного хранения данных и уязвимостей связи обострились, поскольку офисы, как правило, имеют больше защиты периметра и контроля. Подробнее читайте ниже.

СИНГАПУР SynopsysInc. (Nasdaq: SNPS) сегодня опубликовал «Моментальный снимок уязвимости программного обеспечения за 2021 год: анализ Synopsys Услуги по тестированию безопасности приложений», отчет, в котором рассматриваются данные 3,900 тестов, проведенных на 2,600 объектах (т. е. программных продуктах или системах) в течение 2020 года. Synopsys консультанты по безопасности в наших центрах оценки для наших клиентов, включали тестирование на проникновение, динамическое тестирование безопасности приложений и анализ безопасности мобильных приложений, предназначенные для проверки работающих приложений, как это сделал бы реальный злоумышленник.

Восемьдесят три процента тестируемых целей составляли веб-приложения или системы, 12% - мобильные приложения, а остальные - либо исходный код, либо сетевые системы / приложения. Отрасли, представленные в тестах, включали программное обеспечение и Интернет, финансовые услуги, бизнес-услуги, производство, средства массовой информации и развлечения, а также здравоохранение.

«Облачные развертывания, современные технологические платформы и быстрые темпы доставки вынуждают группы безопасности быстрее реагировать на выпуск программного обеспечения», — сказал Гириш Джанардануду, вице-президент по консультированию по вопросам безопасности в Synopsys Группа целостности программного обеспечения. «Из-за нехватки ресурсов AppSec на рынке организации используют службы тестирования приложений, такие как Synopsys предоставляет для того, чтобы гибко масштабировать их тестирование безопасности. Мы наблюдаем резкий рост спроса на оценку на протяжении всей пандемии».

В ходе проведенных 3,900 тестов было обнаружено, что 97% целей имеют ту или иную уязвимость. У 6% целей были уязвимости с высоким риском, а у 28% - уязвимости с критическим риском. Результаты показывают, что лучший подход к тестированию безопасности - это использовать широкий спектр доступных инструментов, чтобы гарантировать, что приложение или система не содержат уязвимостей. Например, XNUMX% от общего числа целей тестирования были подвержены атаке межсайтового скриптинга (XSS), одной из наиболее распространенных и разрушительных уязвимостей с высоким / критическим риском, влияющих на веб-приложения. Многие уязвимости XSS возникают только во время работы приложения.

Другие основные моменты отчета

  • 2021 OWASP Top 10 уязвимостей обнаружено в 76% целей. Неправильная конфигурация приложений и серверов составила 21% от общего числа уязвимостей, обнаруженных в ходе тестов, представленных в категории OWASP A05: 2021 - Security Misconfiguration category. И 19% от общего числа обнаруженных уязвимостей относятся к категории OWASP A01: 2021 - Broken Access Control.
  • Мобильные приложения страдают от небезопасных хранилищ данных и уязвимостей связи.Восемьдесят процентов уязвимостей, обнаруженных в мобильных тестах, были связаны с небезопасным хранением данных. Эти уязвимости могут позволить злоумышленнику получить доступ к мобильному устройству физически (т. Е. Доступ к украденному устройству) или через вредоносное ПО. Пятьдесят три процента мобильных тестов выявили уязвимости, связанные с небезопасным обменом данными.
  • Для облегчения атак можно использовать уязвимости даже с меньшим риском. Шестьдесят четыре процента уязвимостей, обнаруженных в ходе тестов, считаются минимальным, низким или средним риском. То есть обнаруженные проблемы не могут быть использованы злоумышленниками напрямую для получения доступа к системам или конфиденциальным данным. Тем не менее, выявление этих уязвимостей - не пустое занятие, поскольку для облегчения атак можно использовать уязвимости даже с меньшим риском. Например, подробные баннеры сервера, обнаруженные в 49% тестов, предоставляют такую ​​информацию, как имя, тип и номер версии сервера, что позволяет злоумышленникам проводить целевые атаки на определенные технологические стеки.
  • Срочно нужна ведомость материалов для программного обеспечения. Следует отметить количество используемых уязвимых сторонних библиотек, обнаруженных в 18% тестов на проникновение, проведенных Synopsys Услуги по тестированию приложений. Это соответствует категории OWASP Top 2021 10 A06:2021 — Использование уязвимых и устаревших компонентов. Большинство организаций обычно используют сочетание специально разработанного кода, коммерческого готового кода и компонентов с открытым исходным кодом для создания программного обеспечения, которое они продают или используют внутри компании. Часто у этих организаций есть неофициальные реестры — или нет — с подробным описанием того, какие именно компоненты используются в их программном обеспечении, а также с лицензиями, версиями и статусом исправлений для этих компонентов. Поскольку многие компании используют сотни приложений или программных систем, каждая из которых, вероятно, имеет от сотен до тысяч различных сторонних компонентов и компонентов с открытым исходным кодом, для эффективного отслеживания этих компонентов срочно требуется точная, актуальная спецификация программного обеспечения. .

Чтобы узнать больше, загрузите "Моментальный снимок уязвимости программного обеспечения за 2021 год: анализ Synopsys Услуги по тестированию безопасности приложений, »Или прочтите блоге.

###