< p class="meta"> Door Jonathan Greig | 22 juni 2021 — 12:06 GMT (13:06 BST) | Onderwerp: Beveiliging
Uit een nieuw rapport van WhiteHat Security blijkt dat de gemiddelde tijd die nodig is om kritieke kwetsbaarheden in de cyberbeveiliging op te lossen, is toegenomen van 197 dagen in april 2021 tot 205 dagen in mei 2021.
In hun AppSec Stats Flash-rapport ontdekten WhiteHat Security-onderzoekers dat organisaties in de nutssector de meeste blootstelling hadden aan kwetsbaarheden in hun applicaties. De VS hadden een matige cyberbeveiliging. Naast een aanval op een waterzuiveringsinstallatie in Florida eerder dit jaar, kwam naar voren dat er meerdere aanvallen op nutsbedrijven zijn geweest die nooit zijn gemeld.
Volgens het rapport had meer dan 66% van alle applicaties die door de nutssector worden gebruikt het hele jaar door minstens één kwetsbaarheid openstaan. Setu Kulkarni, een vice-president bij WhiteHat Security, zei dat meer dan 60% van de toepassingen in de maakindustrie ook een blootstellingsperiode van meer dan 365 dagen had.
“Tegelijkertijd hebben ze een zeer klein aantal applicaties met een blootstellingsvenster van minder dan 30 dagen – wat betekent dat applicaties waar misbruikbare ernstige kwetsbaarheden binnen een maand worden verholpen”, legt Kulkarni uit, waarbij hij opmerkt dat de financiële en verzekeringsmaatschappij industrieën hebben kwetsbaarheden beter aangepakt.
“Finance heeft een veel evenwichtiger blootstellingsvenster. Ongeveer 40% van de applicaties heeft een WoE van 365 dagen, maar ongeveer 30% heeft een WoE van minder dan 30 dagen.”
WhiteHat Security-onderzoekers zeiden dat de top vijf van kwetsbaarheidsklassen die de afgelopen drie maanden zijn gezien, het lekken van informatie, onvoldoende verlopen van sessies, cross-site scripting, onvoldoende bescherming van de transportlaag en spoofing van inhoud zijn.
Het rapport merkt op dat veel van deze kwetsbaarheden “voetgangers” zijn en weinig inspanning of vaardigheid vergen om te ontdekken en te exploiteren.
Kulkarni zei dat het bedrijf besloot over te stappen van het jaarlijks uitbrengen van het rapport naar het maandelijks publiceren van het rapport vanwege het enorme aantal nieuwe applicaties dat wordt ontwikkeld, gewijzigd en geïmplementeerd, vooral sinds het begin van de COVID-19-pandemie. Het bedreigingslandschap is ook geëvolueerd en uitgebreid naast de explosie in applicatie-ontwikkeling.
Kulkarni merkte op dat de situatie de aandacht heeft gevestigd op het gebrek aan cybersecurity-talent dat voor de meeste organisaties beschikbaar is en het algemene gebrek aan middelen voor veel industrieën die worstelen met het beheren van updates en patches voor honderden applicaties.
“We kijken naar het blootstellingsvenster door de industrie als een maatstaf voor de blootstelling aan inbreuken. Als je kijkt naar industrieën zoals nutsbedrijven of productiebedrijven die achterbleven in digitale transformatie in vergelijking met financiën en gezondheidszorg, zien we dat ze een venster met blootstellingsgegevens hebben in een complete disbalans”, vertelde Kulkarni aan ZDNet.
“Het belangrijkste uit deze gegevens is dat organisaties die in staat zijn hun AppSec-programma aan te passen aan de behoeften van oude en nieuwe applicaties, het veel beter doen in het balanceren van het blootstellingsvenster voor hun applicaties. Dat is wat ik het noem AppSec met twee snelheden: focus op productietesten en mitigatie voor legacy-applicaties; focus op productie en preproductietests en balanceringsbeperking en herstel voor nieuwere applicaties.”
Elke applicatie is tegenwoordig direct of indirect met internet verbonden, voegde Kulkarni eraan toe, en legde uit dat dit betekent dat de impact van kwetsbaarheden mogelijk honderdduizenden eindgebruikers kan treffen, zo niet miljoenen.
Kulkarni stelde voor dat organisaties de verantwoordelijkheid voor beveiliging breder verdelen over alle belanghebbenden dan alleen beveiliging en IT-teams die vaak niet over het budget of de middelen beschikken om nauwgezet met beveiliging om te gaan.
“Beveiliging is een teamsport en er is al heel lang een onevenredig groot deel van de verantwoordelijkheid bij beveiligings- en IT-teams.
“Ontwikkelingsteams staan onder tijdsdruk en ze zijn niet in de positie om meerdere uren specifieke beveiligingstraining te volgen. Een betere benadering is dat de beveiligingsteams de top 1-3 kwetsbaarheden identificeren die trending zijn in de applicaties die ze gebruiken. testen en bieden ontwikkelteams hapklare training gericht op die kwetsbaarheden.”
Microsoft's geavanceerde beveiligingsmeldingsservice niet langer openbaar beschikbaar
Microsoft neemt zijn Advance Notification Service privé en claimt de verandering is het gevolg van veranderingen in de manier waarop gebruikers hun voorafgaande beveiligingsmeldingen willen.
Lees meer
Verwante onderwerpen:
IT-prioriteiten Beveiliging TV-gegevens Beheer CXO-datacenters 