En ny rapport fra NTT Application Security har fundet ud af, at applikationer, der bruges af organisationer i uddannelsessektoren, har et bedre eksponeringsvindue på trods af lavere reparationshastigheder og en højere tid end gennemsnittet til at reparere.
I denne måned har NTT Application Security -forskerteam fokuseret på cybertrusler målrettet uddannelsesapplikationer, da sikkerhedsproblemer i den sektor fortsætter med at vokse, når skoleåret starter.
Fremskyndede online læringsmiljøer på grund af pandemien og betydelige ransomware- og phishing-angreb mod K-12-skoler har øget fokus på de unikke cybersikkerhedsudfordringer, disse organisationer står over for.
Ifølge rapporten, selvom uddannelsessektorens overtrædelseseksponering har været relativt konsekvent i år, tager det længere tid at løse sårbarheder med høj sværhedsgrad sammenlignet med andre brancher (206 dage vs 201 dage).
Derudover viser applikationer inden for uddannelsessektoren en øget Window of Exposure (WoE) rate, der stiger til 57% i august fra 53% i sidste måned.
Setu Kulkarni, vicepræsident for strategi hos NTT Application Security, fortalte ZDNet, at uddannelsessektoren viste en positiv tendens for WoE.
“Da vi afsluttede forskningen, var det overraskende at se, at mindre end 50%, faktisk kun 46% af de kritiske sårbarheder nogensinde er rettet. Det er en chokerende lav udbedringsprocent, men det er kun halvdelen af historien. For disse 46% af sårbarhederne, der bliver afhjulpet, tager det i gennemsnit over 200 dage at rette en kritisk sårbarhed, når en organisation beslutter sig for at løse sårbarheden, ”forklarede Kulkarni.
“Disse to faktorer bidrager flertallet til den høje eksponering for brud på applikationer – det vil sige, at applikationer har et uacceptabelt WoE for angreb. Desuden er blandingen af alvorlige sårbarheder forblevet konstant over tid, og det betyder, angriberne behøver ikke at prøve for hårdt. ”
På trods af problemerne indikerer dataene, at organisationer i uddannelsessektoren er hyperfokuserede på at løse kritiske sårbarheder inden for nogle af deres webapplikationer, og Kulkarni sagde, at denne tilgang ser ud til at virke, da sektorens ellers stabile Window of Exposure-metrics nu forbedres.
Uddannelsessektoren har en af de bedste Window of Exposure -metrics (mindre end en måned) på tværs af alle sektorer, ifølge rapporten.
Forskerne fandt ud af, at 53% af ansøgningerne i uddannelsessektoren har mindst en kritisk sårbarhed, der kan udnyttes i løbet af året, men alligevel har 34% af disse applikationer et eksponeringsvindue på mindre end en måned. Det betyder, at alvorlige sårbarheder i 34% af applikationer i sektoren bliver behandlet inden for en måned.
Kulkarni sagde, at fremadrettet skal der fokuseres på at reducere den gennemsnitlige tid til at løse kritiske sårbarheder med høj sværhedsgrad , som er afgørende for at forbedre WoE og dermed den overordnede sikkerhedsstilling for applikationer.
“Statistikkerne over applikationssikkerhed for uddannelsessektoren indikerer et hyperfokus blandt organisationer i denne sektor på en håndfuld kritiske webapplikationer og reparation af en håndfuld kritiske sårbarheder i disse applikationer,” tilføjede Kulkarni.
“For at fremskynde forbedringen af uddannelsessektorens overordnede applikationssikkerhedsstilling bør organisationer i sektoren udvide deres tilgang til at identificere deres overordnede angrebsoverflade og indføre et systematisk program, der gradvist dækker alle applikationer.”
Kulkarni foreslog også, at uddannelsesorganisationer udbyder sikkerhedstræning til studerende og kræver, at SaaS- og ikke-SaaS-produkter grundigt kontrolleres for sårbarheder.
Sikkerhed
T-Mobile-hack: Alt hvad du brug for at kende Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at forhindre, at angreb bliver værre? (ZDNet YouTube)
Relaterede emner:
Datahåndtering Sikkerhed TV CXO -datacentre