< p class = "meta"> Av Jonathan Greig | 22 juni 2021-12: 06 GMT (13:06 BST) | Ämne: Säkerhet
En ny rapport från WhiteHat Security har visat att den genomsnittliga tiden det tog att fixa kritiska cybersäkerhetsproblem har ökat från 197 dagar i april 2021 till 205 dagar i maj 2021.
I sin AppSec Stats Flash-rapport fann WhiteHat Security-forskare att organisationer inom verktygssektorn hade det största exponeringsfönstret med sina applikationssårbarheter, och belyste ett problem som gjorde nationella nyheter förra veckan när det avslöjades mer än 50 000 vattenreningsverk i USA hade en svag cybersäkerhet. Förutom en attack mot en vattenreningsanläggning i Florida tidigare i år avslöjades att det har skett flera attacker på verktyg som aldrig rapporterades.
Mer än 66% av alla applikationer som används i sektorn hade minst en utnyttjbar sårbarhet öppen under hela året, enligt rapporten. Setu Kulkarni, vice president på WhiteHat Security, sa att över 60% av applikationerna inom tillverkningsindustrin också hade ett exponeringsfönster på över 365 dagar.
“Samtidigt har de ett mycket litet antal applikationer som har ett exponeringsfönster som är mindre än 30 dagar – vilket betyder applikationer där exploaterbara allvarliga sårbarheter fixas under en månad,” förklarade Kulkarni och noterade att ekonomin och försäkringen industrier gjorde ett bättre jobb med att ta itu med sårbarheter.
“Ekonomi har ett mycket mer balanserat exponeringsfönster. Cirka 40% av ansökningarna har en WoE på 365 dagar men cirka 30% har en WoE på mindre än 30 dagar.”
WhiteHat Security-forskare sa att de fem bästa sårbarhetsklasserna som har setts under de senaste tre månaderna inkluderar informationsläckage, otillräcklig utgång av sessionen, skriptöverföring på plats, otillräckligt skydd för transportlager och falsk innehåll.
Rapporten konstaterar att många av dessa sårbarheter är “fotgängare” och kräver lite ansträngning eller skicklighet för att upptäcka och utnyttja.
Kulkarni sa att företaget beslutade att byta från att publicera rapporten varje år till att publicera den varje månad på grund av det stora antalet nya applikationer som utvecklas, ändras och distribueras, särskilt sedan COVID-19-pandemin började. Hotlandskapet har också utvecklats och utvidgats tillsammans med explosionen i applikationsutveckling.
Kulkarni noterade att situationen har satt fokus på bristen på cybersäkerhetstalang för de flesta organisationer och den allmänna bristen på resurser för många branscher som kämpar för att hantera uppdateringar och korrigeringar för hundratals applikationer.
“Vi ser på exponeringsfönstret efter bransch som ett mått på brottet för exponering. När man tittar på branscher som verktyg eller tillverkning som har varit eftersläpande i digital omvandling jämfört med ekonomi och vård, finner vi att de har exponeringsdata i en fullständig obalans, säger Kulkarni till ZDNet.
“Den viktigaste lösningen från dessa data är att organisationer som kan anpassa sitt AppSec-program för att tillgodose behoven hos äldre och nya applikationer klarar sig mycket bättre för att balansera exponeringsfönstret för sina applikationer. Det är vad jag kallar det tvåhastighets AppSec: fokus på produktionstestning och minskning av äldre applikationer; fokusering på produktion och testning av produktion och balansering av avhjälpning samt sanering för nyare applikationer. ”
Varje applikation i dag är internetansluten antingen direkt eller indirekt, tillade Kulkarni och förklarade att detta innebär att effekterna av sårbarheter potentiellt kan påverka hundratusentals slutanvändare, om inte miljoner.
Kulkarni föreslog att organisationer skulle fördela säkerhetsansvaret bredare till alla intressenter utöver bara säkerhets- och IT-team som ofta saknar budget eller resurser för att hantera säkerheten noggrant.
“Säkerhet är en lagsport och det har länge funnits en oproportionerlig del av ansvaret för säkerhets- och IT-team.
“Utvecklingsteam är pressade för tid och de är inte i stånd att genomgå flera timmars dedikerad säkerhetsutbildning i tid. Ett bättre tillvägagångssätt är att säkerhetsgrupperna identifierar de 1-3 bästa sårbarheterna som trender i applikationerna de testar och tillhandahåller utvecklingsteam bitstorleksträning med fokus på dessa sårbarheter. ”
Microsofts förvarningstjänst för säkerhetsanmälan inte längre offentligt tillgänglig
Microsoft tar sin Advance Notification Service privat och hävdar att ändring beror på förändringar i hur användare vill ha sina säkerhetsmeddelanden i förväg.
Läs mer
Relaterade ämnen:
IT-prioriteringar Säkerhet TV-data Management CXO-datacenter 