опубликовано

Краткое содержание редактора: с ростом числа нарушений кибербезопасности из-за внешних угроз, а также из-за проблем с качеством программного обеспечения, существует острая необходимость серьезно отнестись к Спецификации программного обеспечения (SBOM). А поскольку феномен WFH (работа из дома) по-прежнему заставляет многих людей работать удаленно, проблемы, связанные с небезопасным хранением данных и уязвимостями связи, обострились, поскольку офисы, как правило, имеют больше средств защиты и контроля периметра. Релиз производителя представлен ниже.

Synopsys Research обнаруживает уязвимости в 97% приложений, 36% из которых подвержены критическим или высокорисковым уязвимостям

В отчете «Снимок уязвимостей программного обеспечения за 2021 год» анализируется распространенность уязвимостей, выявленных службой тестирования безопасности приложений Synopsys.

СИНГАПУР, @mcgallen #microwireinfo, 17 ноября 2021 г. - Synopsys, Inc. (Nasdaq: SNPS) сегодня опубликовал «Снимок уязвимости программного обеспечения 2021 года: анализ, проведенный службами тестирования безопасности приложений Synopsys, »Отчет, в котором анализируются данные 3,900 тестов, проведенных на 2,600 объектах (например, программное обеспечение или системы) в течение 2020 года. Данные, собранные в результате тестов, проведенных консультантами по безопасности Synopsys в наших центрах оценки для наших клиентов, включали тестирование на проникновение, динамическое тестирование безопасности приложений. , а также анализ безопасности мобильных приложений, предназначенный для проверки запущенных приложений, как это сделал бы реальный злоумышленник.

Восемьдесят три процента тестируемых целей составляли веб-приложения или системы, 12% - мобильные приложения, а остальные - либо исходный код, либо сетевые системы / приложения. Отрасли, представленные в тестах, включали программное обеспечение и Интернет, финансовые услуги, бизнес-услуги, производство, средства массовой информации и развлечения, а также здравоохранение.

«Облачные развертывания, современные технологические структуры и быстрые темпы доставки заставляют группы безопасности реагировать быстрее по мере выпуска программного обеспечения», - сказал Гириш Джанардхануду, вице-президент по консультированию по безопасности Synopsys Software Integrity Group. «При недостатке ресурсов AppSec на рынке организации используют услуги тестирования приложений, такие как те, что предоставляет Synopsys, чтобы гибко масштабировать свои тесты безопасности. На протяжении всей пандемии мы наблюдали резкий рост спроса на оценки ».

В ходе проведенных 3,900 тестов было обнаружено, что 97% целей имеют ту или иную уязвимость. У 6% целей были уязвимости с высоким риском, а у 28% - уязвимости с критическим риском. Результаты показывают, что лучший подход к тестированию безопасности - это использовать широкий спектр доступных инструментов, чтобы гарантировать, что приложение или система не содержат уязвимостей. Например, XNUMX% от общего числа целей тестирования были подвержены атаке межсайтового скриптинга (XSS), одной из наиболее распространенных и разрушительных уязвимостей с высоким / критическим риском, влияющих на веб-приложения. Многие уязвимости XSS возникают только во время работы приложения.

Другие основные моменты отчета

  • 2021 OWASP Top 10 уязвимостей обнаружено в 76% целей. Неправильная конфигурация приложений и серверов составила 21% от общего числа уязвимостей, обнаруженных в ходе тестов, представленных в категории OWASP A05: 2021 - Security Misconfiguration category. И 19% от общего числа обнаруженных уязвимостей относятся к категории OWASP A01: 2021 - Broken Access Control.
  • Мобильные приложения страдают от небезопасных хранилищ данных и уязвимостей связи.Восемьдесят процентов уязвимостей, обнаруженных в мобильных тестах, были связаны с небезопасным хранением данных. Эти уязвимости могут позволить злоумышленнику получить доступ к мобильному устройству физически (т. Е. Доступ к украденному устройству) или через вредоносное ПО. Пятьдесят три процента мобильных тестов выявили уязвимости, связанные с небезопасным обменом данными.
  • Для облегчения атак можно использовать уязвимости даже с меньшим риском. Шестьдесят четыре процента уязвимостей, обнаруженных в ходе тестов, считаются минимальным, низким или средним риском. То есть обнаруженные проблемы не могут быть использованы злоумышленниками напрямую для получения доступа к системам или конфиденциальным данным. Тем не менее, выявление этих уязвимостей - не пустое занятие, поскольку для облегчения атак можно использовать уязвимости даже с меньшим риском. Например, подробные баннеры сервера, обнаруженные в 49% тестов, предоставляют такую ​​информацию, как имя, тип и номер версии сервера, что позволяет злоумышленникам проводить целевые атаки на определенные технологические стеки.
  • Срочно нужна ведомость материалов для программного обеспечения. Следует отметить количество используемых уязвимых сторонних библиотек, которое было обнаружено в 18% тестов на проникновение, проведенных Synopsys Application Testing Services. Это соответствует категории A2021: 10 OWASP Top 06 2021 - Использование уязвимых и устаревших компонентов. Большинство организаций обычно используют сочетание кода, созданного на заказ, готового коммерческого кода и компонентов с открытым исходным кодом для создания программного обеспечения, которое они продают или используют внутри компании. Часто у этих организаций есть неофициальные - или нет - инвентаризационные списки с подробным описанием того, какие именно компоненты использует их программное обеспечение, а также с лицензиями, версиями и статусом исправлений этих компонентов. Поскольку многие компании используют сотни приложений или программных систем, каждая из которых, вероятно, имеет от сотен до тысяч различных сторонних компонентов и компонентов с открытым исходным кодом, срочно требуется точный и актуальный перечень материалов программного обеспечения для эффективного отслеживания этих компонентов. .

Чтобы узнать больше, загрузите "Снимок уязвимости программного обеспечения 2021 года: анализ, проведенный службами тестирования безопасности приложений Synopsys, »Или прочтите блоге.

О группе обеспечения целостности программного обеспечения Synopsys

Synopsys Software Integrity Group помогает командам разработчиков создавать безопасное и качественное программное обеспечение, сводя к минимуму риски при максимальной скорости и производительности. Synopsys, признанный лидер в области безопасности приложений, предоставляет решения для статического анализа, анализа состава программного обеспечения и динамического анализа, которые позволяют командам быстро находить и исправлять уязвимости и дефекты в проприетарном коде, компонентах с открытым исходным кодом и поведении приложений. Благодаря сочетанию лучших в отрасли инструментов, услуг и опыта только Synopsys помогает организациям оптимизировать безопасность и качество DevSecOps и на протяжении всего жизненного цикла разработки программного обеспечения. Узнайте больше на www.synopsys.com/software.

О компании Synopsys

Synopsys, Inc. (Nasdaq: SNPS) является партнером Silicon to Software ™ для инновационных компаний, разрабатывающих электронные продукты и программные приложения, на которые мы полагаемся каждый день. Как компания S&P 500, Synopsys уже долгое время является мировым лидером в области автоматизации проектирования электроники (EDA) и полупроводниковой IP, а также предлагает самый широкий в отрасли портфель инструментов и услуг для тестирования безопасности приложений. Независимо от того, являетесь ли вы разработчиком системы на кристалле (SoC), создающим передовые полупроводники, или разработчиком программного обеспечения, пишущим более безопасный и высококачественный код, у Synopsys есть решения, необходимые для создания инновационных продуктов. Узнайте больше на www.synopsys.com.

###