โพสต์

บทสรุปของบรรณาธิการ: ด้วยการละเมิดความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นอันเนื่องมาจากภัยคุกคามภายนอกรวมถึงปัญหาด้านคุณภาพของซอฟต์แวร์ จึงมีความจำเป็นเร่งด่วนที่จะต้องจริงจังกับ Software Bill of Materials (SBOM) และด้วยปรากฏการณ์ WFH (work frome home) ที่ยังคงบังคับให้คนจำนวนมากต้องทำงานจากระยะไกล ความท้าทายของการจัดเก็บข้อมูลที่ไม่ปลอดภัยและช่องโหว่ในการสื่อสารจึงทวีความรุนแรงมากขึ้น เนื่องจากสำนักงานมักจะมีการป้องกันและควบคุมปริมณฑลมากกว่า การเปิดตัวของผู้จัดจำหน่ายอยู่ด้านล่าง

Synopsys Research พบช่องโหว่ใน 97% ของแอปพลิเคชัน, 36% ได้รับผลกระทบจากช่องโหว่ที่สำคัญหรือมีความเสี่ยงสูง

รายงานสแนปชอตช่องโหว่ของซอฟต์แวร์ 2021 ตรวจสอบความชุกของช่องโหว่ที่ระบุโดย Synopsys Application Security Testing Services

สิงคโปร์, @mcgallen #microwireข้อมูล 17 พฤศจิกายน 2021 - Synopsys, Inc.. (Nasdaq: SNPS) เผยแพร่ในวันนี้ “ภาพรวมช่องโหว่ของซอฟต์แวร์ 2021: การวิเคราะห์โดย Synopsys Application Security Testing Services” รายงานที่ตรวจสอบข้อมูลจากการทดสอบ 3,900 ครั้งที่ดำเนินการกับ 2,600 เป้าหมาย (เช่น ซอฟต์แวร์หรือระบบ) ในปี 2020 ข้อมูลที่รวบรวมโดยการทดสอบที่ดำเนินการโดยที่ปรึกษาด้านความปลอดภัยของ Synopsys ในศูนย์ประเมินของเราสำหรับลูกค้าของเรา รวมถึงการทดสอบการเจาะระบบ การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก และการวิเคราะห์ความปลอดภัยของแอปพลิเคชันมือถือ ออกแบบมาเพื่อตรวจสอบแอปพลิเคชันที่ทำงานอยู่เหมือนกับที่ผู้โจมตีในโลกแห่งความเป็นจริงทำ

ร้อยละแปดสิบสามของเป้าหมายที่ทดสอบคือเว็บแอปพลิเคชันหรือระบบ 12% เป็นแอปพลิเคชันมือถือและที่เหลือเป็นซอร์สโค้ดหรือระบบ / แอปพลิเคชันเครือข่าย อุตสาหกรรมที่แสดงในการทดสอบนั้นรวมถึงซอฟต์แวร์และอินเทอร์เน็ต บริการทางการเงิน บริการทางธุรกิจ การผลิต สื่อและความบันเทิง และการดูแลสุขภาพ

Girish Janardhanudu รองประธานฝ่ายที่ปรึกษาด้านความปลอดภัยของ Synopsys Software Integrity Group กล่าวว่า “การปรับใช้บนคลาวด์ เฟรมเวิร์กเทคโนโลยีที่ทันสมัย ​​และความเร็วของการส่งมอบ ส่งผลให้กลุ่มความปลอดภัยต้องตอบสนองอย่างรวดเร็วยิ่งขึ้นเมื่อมีการเผยแพร่ซอฟต์แวร์” “ด้วยทรัพยากร AppSec ที่ไม่เพียงพอในตลาด องค์กรต่างๆ ต่างใช้บริการทดสอบแอปพลิเคชัน เช่น ที่ Synopsys มีให้ เพื่อที่จะปรับขนาดการทดสอบความปลอดภัยของตนได้อย่างยืดหยุ่น เราได้เห็นความต้องการการประเมินที่เพิ่มขึ้นอย่างมากตลอดการระบาดใหญ่”

จากการทดสอบ 3,900 ครั้ง พบว่า 97% ของเป้าหมายมีช่องโหว่บางรูปแบบ เป้าหมายสามสิบเปอร์เซ็นต์มีช่องโหว่ที่มีความเสี่ยงสูงและ 6% มีช่องโหว่ที่มีความเสี่ยงวิกฤต ผลลัพธ์แสดงให้เห็นว่าวิธีที่ดีที่สุดในการทดสอบความปลอดภัยคือการใช้เครื่องมือที่มีอยู่มากมายเพื่อช่วยให้แน่ใจว่าแอปพลิเคชันหรือระบบปราศจากช่องโหว่ ตัวอย่างเช่น 28% ของเป้าหมายการทดสอบทั้งหมดมีโอกาสถูกโจมตีแบบ cross-site scripting (XSS) ซึ่งเป็นหนึ่งในช่องโหว่ที่มีความเสี่ยงสูง/เสี่ยงร้ายแรงที่แพร่หลายและทำลายล้างมากที่สุดที่ส่งผลกระทบกับเว็บแอปพลิเคชัน ช่องโหว่ XSS จำนวนมากเกิดขึ้นเมื่อแอปพลิเคชันทำงานอยู่เท่านั้น

ไฮไลท์รายงานอื่นๆ

  • 2021 OWASP พบช่องโหว่ 10 อันดับแรกใน 76% ของเป้าหมาย การกำหนดค่าแอปพลิเคชันและเซิร์ฟเวอร์ผิดพลาดเป็น 21% ของช่องโหว่ทั้งหมดที่พบในการทดสอบ ซึ่งแสดงโดย OWASP A05:2021 — หมวดหมู่การกำหนดค่าความปลอดภัยผิดพลาด และ 19% ของช่องโหว่ทั้งหมดที่พบนั้นเกี่ยวข้องกับ OWASP A01:2021 — หมวดหมู่การควบคุมการเข้าถึงที่ใช้งานไม่ได้
  • ช่องโหว่ในการจัดเก็บข้อมูลและการสื่อสารที่ไม่ปลอดภัยทำให้เกิดภัยพิบัติกับแอปพลิเคชันมือถือร้อยละแปดสิบของช่องโหว่ที่ค้นพบในการทดสอบมือถือเกี่ยวข้องกับการจัดเก็บข้อมูลที่ไม่ปลอดภัย ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีเข้าถึงอุปกรณ์มือถือได้ทั้งทางกายภาพ (เช่น การเข้าถึงอุปกรณ์ที่ถูกขโมย) หรือผ่านมัลแวร์ ห้าสิบสามเปอร์เซ็นต์ของการทดสอบมือถือเปิดเผยช่องโหว่ที่เกี่ยวข้องกับการสื่อสารที่ไม่ปลอดภัย
  • แม้แต่ช่องโหว่ที่มีความเสี่ยงต่ำก็สามารถใช้ประโยชน์จากการโจมตีได้ หกสิบสี่เปอร์เซ็นต์ของช่องโหว่ที่พบในการทดสอบนั้นถือว่ามีความเสี่ยงน้อยที่สุด ต่ำ หรือปานกลาง กล่าวคือ ปัญหาที่พบไม่สามารถใช้ประโยชน์ได้โดยตรงจากผู้โจมตีเพื่อเข้าถึงระบบหรือข้อมูลที่ละเอียดอ่อน อย่างไรก็ตาม การเปิดเผยช่องโหว่เหล่านี้ไม่ใช่แบบฝึกหัดที่ว่างเปล่า เนื่องจากช่องโหว่ที่มีความเสี่ยงต่ำกว่าก็สามารถนำไปใช้เพื่ออำนวยความสะดวกในการโจมตีได้ ตัวอย่างเช่น แบนเนอร์เซิร์ฟเวอร์แบบละเอียด ซึ่งพบได้ใน 49% ของการทดสอบ จะให้ข้อมูลเช่น ชื่อเซิร์ฟเวอร์ ประเภท และหมายเลขเวอร์ชัน ซึ่งอาจช่วยให้ผู้โจมตีทำการโจมตีเป้าหมายบนกองเทคโนโลยีเฉพาะได้
  • ความจำเป็นเร่งด่วนสำหรับซอฟต์แวร์ Bill of Materials สิ่งที่ควรทราบคือจำนวนไลบรารีของบุคคลที่สามที่มีช่องโหว่ในการใช้งาน ซึ่งพบได้ใน 18% ของการทดสอบการเจาะระบบที่ดำเนินการโดย Synopsys Application Testing Services ซึ่งสอดคล้องกับหมวดหมู่ 2021 อันดับแรกของ OWASP ในปี 10 A06:2021 — การใช้ส่วนประกอบที่มีช่องโหว่และล้าสมัย องค์กรส่วนใหญ่มักใช้การผสมผสานระหว่างโค้ดที่สร้างขึ้นเอง โค้ดที่มีจำหน่ายทั่วไป และส่วนประกอบโอเพ่นซอร์ส เพื่อสร้างซอฟต์แวร์ที่พวกเขาขายหรือใช้ภายใน บ่อยครั้งที่องค์กรเหล่านั้นมีสินค้าคงคลังที่ไม่เป็นทางการหรือไม่มีเลย โดยให้รายละเอียดว่าซอฟต์แวร์กำลังใช้ส่วนประกอบใด รวมทั้งใบอนุญาต เวอร์ชัน และสถานะแพตช์ของส่วนประกอบเหล่านั้น เนื่องจากบริษัทจำนวนมากมีแอพพลิเคชั่นหรือระบบซอฟต์แวร์ใช้งานอยู่หลายร้อยรายการ โดยแต่ละบริษัทอาจมีส่วนประกอบบุคคลที่สามและโอเพ่นซอร์สที่แตกต่างกันหลายแสนรายการ ดังนั้น Bill of Materials ซอฟต์แวร์ที่แม่นยำและทันสมัยจึงมีความจำเป็นเร่งด่วนเพื่อติดตามส่วนประกอบเหล่านั้นอย่างมีประสิทธิภาพ .

หากต้องการเรียนรู้เพิ่มเติม ดาวน์โหลด “ภาพรวมช่องโหว่ของซอฟต์แวร์ 2021: การวิเคราะห์โดย Synopsys Application Security Testing Services” หรืออ่าน โพสต์บล็อก.

เกี่ยวกับ Synopsys Software Integrity Group

Synopsys Software Integrity Group ช่วยทีมพัฒนาสร้างซอฟต์แวร์ที่ปลอดภัยและมีคุณภาพสูงลดความเสี่ยงในขณะที่เพิ่มความเร็วและประสิทธิผลสูงสุด Synopsys ซึ่งเป็นผู้นำที่ได้รับการยอมรับในด้านความปลอดภัยของแอปพลิเคชันนำเสนอการวิเคราะห์แบบคงที่การวิเคราะห์องค์ประกอบซอฟต์แวร์และโซลูชันการวิเคราะห์แบบไดนามิกที่ช่วยให้ทีมสามารถค้นหาและแก้ไขช่องโหว่และข้อบกพร่องในโค้ดที่เป็นกรรมสิทธิ์ส่วนประกอบโอเพนซอร์สและพฤติกรรมของแอปพลิเคชันได้อย่างรวดเร็ว ด้วยการผสมผสานระหว่างเครื่องมือบริการและความเชี่ยวชาญชั้นนำของอุตสาหกรรมมีเพียง Synopsys เท่านั้นที่ช่วยให้องค์กรสามารถเพิ่มประสิทธิภาพความปลอดภัยและคุณภาพใน DevSecOps และตลอดวงจรชีวิตการพัฒนาซอฟต์แวร์ เรียนรู้เพิ่มเติมที่ www.synopsys.com/software.

เกี่ยวกับ Synopsys

Synopsys, Inc. (Nasdaq: SNPS) เป็นหุ้นส่วนของ Silicon to Software ™สำหรับ บริษัท นวัตกรรมที่พัฒนาผลิตภัณฑ์อิเล็กทรอนิกส์และแอพพลิเคชั่นซอฟต์แวร์ที่เราพึ่งพาทุกวัน ในฐานะ บริษัท S&P 500 Synopsys มีประวัติอันยาวนานในการเป็นผู้นำระดับโลกในด้านการออกแบบอัตโนมัติ (EDA) และเซมิคอนดักเตอร์ IP และนำเสนอเครื่องมือและบริการทดสอบความปลอดภัยของแอปพลิเคชันที่กว้างขวางที่สุดในอุตสาหกรรม ไม่ว่าคุณจะเป็นนักออกแบบระบบบนชิป (SoC) ที่สร้างเซมิคอนดักเตอร์ขั้นสูงหรือนักพัฒนาซอฟต์แวร์ที่เขียนโค้ดคุณภาพสูงที่ปลอดภัยยิ่งขึ้น Synopsys มีโซลูชันที่จำเป็นสำหรับการนำเสนอผลิตภัณฑ์ที่เป็นนวัตกรรมใหม่ เรียนรู้เพิ่มเติมที่ www.synopsys.com.

# # #