Nul
De meerderheid van de kwetsbaarheden blijven ongepatchte door het bedrijf een maand na ontdekking, hebben onderzoekers vastgesteld.
Volgens CA Veracode de laatste Stand van Software Security (SOSS) rapport, dat tot 70 procent van de fouten blijven niet gecorrigeerde vier weken na de bekendmaking, en dicht bij 55 procent niet opgelost drie maanden na ontdekking.
Kwetsbaarheden van invloed zijn organisatie netwerken, apps en infrastructuur zijn niet allemaal gelijk zijn, en een deel van de verantwoordelijke beveiliging praktijken vereisen dat HET personeel triage problemen op te lossen en patch van de bugs die worden beschouwd als de meest gevaarlijk zijn voor dat bedrijf.
Echter, volgens de cybersecurity onderneming, 25 procent van de kwetsbaarheden die worden toegeschreven hoge ernst niet worden behandeld binnen 290 dagen, en een kwart gemelde bugs die kan niet zo kritisch blijven ongepatchte en na een jaar.
In totaal Veracode zegt dat ongeveer één op de vier kwetsbaarheden worden opgelost binnen 21 dagen, maar dit potentieel nog laat open een kanaal voor een succesvolle cyberaanvallen.
Zoals we zagen in het geval van de Equifax data inbreuk, die 146 miljoen klantgegevens werden blootgesteld, een gebrek patch binnen een redelijke termijn kan desastreuze gevolgen hebben voor een bedrijf.
Zie ook: De meest interessante Internet-aangesloten voertuig hacks op record
De credit monitoring service data breach was te wijten aan het misbruik van een beveiligingslek in de Apache Struts framework, CVE-2017-5638, waarvan een patch ter beschikking was gesteld maanden voor de cyberaanval.
Een interessant aspect van het rapport is de regionale verschillen lijken te bestaan als het gaat om de kwetsbaarheid sanering. Bedrijven in de regio Azië-Pacific (APAC) regio het snelst te handelen, het patchen van een kwart van bugs binnen een gemiddelde van acht dagen. Dit wordt gevolgd door 22 dagen voor de VS, en 28 dagen voor organisaties in Europa en het Midden-Oosten (EMEA).
Terwijl een snelle reactie lijkt te zijn van een sterkte van de APAC-regio, deze reactie houdt geen rekening met alle relevante kwetsbaarheden. Het duurt gemiddeld 413 dagen voor ondernemingen in de VS op te lossen tot 75 procent van de bugs, en het dubbele van de tijd voor bedrijven in EMEA APAC en te volgen.
Apps, op de hele, blijven kwetsbaar, met ten minste 80 procent van de toepassingen die ten minste één van de kwetsbaarheid, en meer dan 30 procent van deze worden beschouwd als een hoge ernst.
Wanneer het gaat om een open-source security, de onderneming nog moet verbeteren. Volgens het onderzoek, ruim 85 procent van de apps die door bedrijven gebruikt, bevatten ten minste één van de kwetsbaarheid — en hoewel dit niet noodzakelijkerwijs een probleem als ze low-impact, 13 procent worden beschouwd als een hoog risico.
TechRepublic: Hoe Ratten infecteren computers met kwaadaardige software
Maar de onderneming kan niet verwacht worden dat het oplossen van elke fout of bug zo snel als het is publiekelijk bekend. Bedrijven zijn niet alleen met behulp van een breed scala van diensten en apps, maar kan ook met behulp van open-source componenten en bibliotheken-die zorgt voor een grote potentiële aanval oppervlak voor hen in de gaten te houden.
Ondanks deze uitdagingen, het rapport stelt dat de staat van cybersecurity in de onderneming is langzaam aan het verbeteren.
In totaal wordt geschat dat 69 procent van de kwetsbaarheden worden uiteindelijk gesloten door sanering of mitigatie, dat is een stijging van 12 procent jaar-op-jaar.
CNET: Witte Huis wil lenen tech werknemers van Google, Amazon, zegt verslag
“Security-minded organisaties hebben erkend dat de inbedding van security ontwerpen en testen direct in de continue levering van software cyclus is essentieel voor het bereiken van de DevSecOps beginselen van het evenwicht van de snelheid, flexibiliteit en risico management,” zegt Chris Eng, vice president Research bij CA Veracode. “Deze incrementele verbeteringen bedrag in de loop van de tijd een aanzienlijk voordeel in de concurrentiepositie in de markt en een enorme daling in het risico geassocieerd met kwetsbaarheden.”
Vorige en aanverwante dekking
Dit is hoe de overheid spyware StrongPity maakt gebruik van beveiliging-onderzoekers’ werk tegen hen Google Nieuws-app bug brandwonden door gigabytes aan gebruikers van mobiele data Project Lakhta: de russische nationale opgeladen met ONS verkiezing bemoeizuchtige
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0