< p class = "meta"> Af Jonathan Greig | 22. juni 2021-12: 06 GMT (13:06 BST) | Emne: Sikkerhed
En ny rapport fra WhiteHat Security har vist, at den gennemsnitlige tid, det tager at rette kritiske cybersikkerhedssårbarheder, er steget fra 197 dage i april 2021 til 205 dage i maj 2021.
I sin AppSec Stats Flash-rapport fandt WhiteHat Security-forskere, at organisationer i forsyningssektoren havde det højeste eksponeringsvindue med deres applikationssårbarheder og fremhævede et problem, der gjorde nationale nyheder i sidste uge, da det blev afsløret, at mere end 50.000 vandbehandlingsanlæg overalt i USA havde mangelfuld cybersikkerhed. Ud over et angreb på et vandbehandlingsanlæg i Florida tidligere på året blev det afsløret, at der har været flere angreb på forsyningsselskaber, der aldrig blev rapporteret.
Mere end 66% af alle applikationer, der bruges i forsyningssektoren, havde mindst en udnyttelig sårbarhed åben hele året, ifølge rapporten. Setu Kulkarni, en vicepræsident hos WhiteHat Security, sagde, at over 60% af applikationerne i fremstillingsindustrien også havde et eksponeringsvindue på over 365 dage.
“Samtidig har de et meget lille antal applikationer, der har et eksponeringsvindue, der er mindre end 30 dage – hvilket betyder applikationer, hvor udnyttelige alvorlige sårbarheder bliver løst under en måned,” forklarede Kulkarni og bemærkede, at økonomi og forsikring industrier gjorde et bedre stykke arbejde med at tackle sårbarheder.
“Finans har et langt mere afbalanceret udsigtsvindue. Cirka 40% af applikationerne har en WoE på 365 dage, men omkring 30% har en WoE på mindre end 30 dage.”
WhiteHat Security-forskere sagde, at de fem bedste sårbarhedsklasser set over de sidste tre måneder inkluderer informationslækage, utilstrækkelig sessionudløb, scripting på tværs af websteder, utilstrækkelig beskyttelse af transportlag og spoofing af indhold.
Rapporten bemærker, at mange af disse sårbarheder er “fodgængere” og kræver ringe indsats eller dygtighed for at opdage og udnytte.
Kulkarni sagde, at virksomheden besluttede at skifte fra at frigive rapporten årligt til at offentliggøre den månedligt på grund af det store antal nye applikationer, der er udviklet, ændret og implementeret, især siden begyndelsen af COVID-19-pandemien. Trussellandskabet har også udviklet sig og udvidet sammen med eksplosionen i applikationsudvikling.
Kulkarni bemærkede, at situationen har sat fokus på manglen på cybersikkerhedstalent til rådighed for de fleste organisationer og den generelle mangel på ressourcer for mange brancher, der kæmper for at administrere opdateringer og patches til hundredvis af applikationer.
“Vi ser på vinduet med eksponering efter branche som en målepunkt for brudeksponering. Når man ser på industrier som forsyningsselskaber eller fremstilling, der har været bagud i digital transformation sammenlignet med økonomi og sundhedspleje, finder vi ud af, at de har et vindue med eksponeringsdata i en fuldstændig ubalance, ”sagde Kulkarni til ZDNet.
“Den vigtigste take-away fra disse data er, at organisationer, der er i stand til at tilpasse deres AppSec-program til at imødekomme arvenes behov og nye applikationer, klarer sig meget bedre til at afbalancere eksponeringsvinduet for deres applikationer. Det er det, jeg kalder det to-trins AppSec: fokus på produktionstest og afbødning af ældre applikationer; fokus på produktion og afprøvning før produktion og afbalancering af afbødning samt afhjælpning af nyere applikationer. ”
Enhver applikation i dag er internetforbundet enten direkte eller indirekte, tilføjede Kulkarni og forklarede, at dette betyder, at virkningen af sårbarheder potentielt kan påvirke hundreder af tusinder af slutbrugere, hvis ikke millioner.
Kulkarni foreslog, at organisationer distribuerede sikkerhedsansvaret bredere til alle interessenter ud over bare sikkerheds- og it-teams, der ofte mangler budget eller ressourcer til at håndtere sikkerhed omhyggeligt.
“Sikkerhed er en teamsport, og der har længe været en uforholdsmæssig stor del af ansvaret for sikkerheds- og it-teams.
“Udviklingsteam er presset til tiden, og de er ikke i stand til at gennemgå flere timers dedikeret sikkerhedsuddannelse på tidspunktet. En bedre tilgang er, at sikkerhedsteamene identificerer de top 1-3 sårbarheder, der trender i de applikationer, de tester og leverer udviklingsteams træning i bittesmå med fokus på disse sårbarheder. ”
Microsofts forhåndssikkerhedsmeddelelsestjeneste ikke længere offentligt tilgængelig
Microsoft tager sin Advance Notification Service privat og hævder, at ændring skyldes ændringer i den måde, som brugerne ønsker deres forhåndsmeddelelser om sikkerhed.
Læs mere
Relaterede emner:
IT-prioriteter Sikkerhed TV-data Management CXO-datacentre 