< p class="meta"> Von Jonathan Greig | 22. Juni 2021 — 12:06 GMT (13:06 BST) | Thema: Sicherheit
Ein neuer Bericht von WhiteHat Security hat ergeben, dass sich die durchschnittliche Zeit zur Behebung kritischer Cybersicherheitsschwachstellen von 197 Tagen im April 2021 auf 205 Tage im Mai 2021 erhöht hat.
In ihrem AppSec Stats Flash-Bericht stellten die WhiteHat Security-Forscher fest, dass Unternehmen im Versorgungssektor mit ihren Anwendungsschwachstellen am stärksten exponiert waren Die USA hatten eine glanzlose Cybersicherheit. Zusätzlich zu einem Angriff auf eine Wasseraufbereitungsanlage in Florida Anfang dieses Jahres wurde bekannt, dass es mehrere Angriffe auf Versorgungsunternehmen gab, die nie gemeldet wurden.
Mehr als 66 % aller Anwendungen, die im Versorgungssektor verwendet werden, hatten laut dem Bericht das ganze Jahr über mindestens eine ausnutzbare Schwachstelle offen. Setu Kulkarni, Vice President bei WhiteHat Security, sagte, dass über 60 % der Anwendungen in der Fertigungsindustrie auch ein Zeitfenster von über 365 Tagen hatten.
„Gleichzeitig haben sie eine sehr kleine Anzahl von Anwendungen mit einem Expositionsfenster von weniger als 30 Tagen – das heißt Anwendungen, bei denen ausnutzbare schwerwiegende Schwachstellen in weniger als einem Monat behoben werden“, erklärte Kulkarni und stellte fest, dass die Finanz- und Versicherungsabteilungen Industrien haben es besser gemacht, Schwachstellen zu beheben.
“Finanzen haben ein viel ausgewogeneres Zeitfenster für die Risikoaussichten. Ungefähr 40 % der Anträge haben eine WoE von 365 Tagen, aber ungefähr 30 % haben eine WoE von weniger als 30 Tagen.”
Die Forscher von WhiteHat Security sagten, dass zu den fünf häufigsten Schwachstellenklassen, die in den letzten drei Monaten beobachtet wurden, Informationslecks, unzureichender Sitzungsablauf, Cross-Site-Scripting, unzureichender Transportschichtschutz und Inhalts-Spoofing gehören.
Der Bericht weist darauf hin, dass viele dieser Schwachstellen “fußgängerfreundlich” sind und wenig Aufwand oder Fähigkeiten erfordern, um sie zu entdecken und auszunutzen.
Kulkarni sagte, das Unternehmen habe beschlossen, den Bericht aufgrund der schieren Anzahl neuer Anwendungen, die entwickelt, geändert und bereitgestellt werden, insbesondere seit Beginn der COVID-19-Pandemie, von der jährlichen auf die monatliche Veröffentlichung umzustellen. Mit der Explosion in der Anwendungsentwicklung hat sich auch die Bedrohungslandschaft weiterentwickelt und erweitert.
Kulkarni stellte fest, dass die Situation den Mangel an Cybersicherheitstalenten, die den meisten Unternehmen zur Verfügung stehen, und den allgemeinen Mangel an Ressourcen für viele Branchen, die Schwierigkeiten haben, Updates und Patches für Hunderte von Anwendungen zu verwalten, ins Rampenlicht rückt.
„Wir betrachten das Risikofenster nach Branche als Leitmaßstab für das Risiko von Sicherheitsverletzungen. Wenn Sie sich Branchen wie Versorgungsunternehmen oder die verarbeitende Industrie ansehen, die im Vergleich zu Finanzen und dem Gesundheitswesen bei der digitalen Transformation Nachzügler waren, stellen wir fest, dass sie Daten zum Risikofenster in ein völliges Ungleichgewicht”, sagte Kulkarni gegenüber ZDNet.
„Die wichtigste Erkenntnis aus diesen Daten ist, dass Unternehmen, die ihr AppSec-Programm an die Anforderungen älterer und neuer Anwendungen anpassen können, viel besser darin sind, das Zeitfenster für ihre Anwendungen auszugleichen. So nenne ich es AppSec mit zwei Geschwindigkeiten: Fokus auf Produktionstests und -minderung für Legacy-Anwendungen; Fokus auf Produktions- und Vorproduktionstests und Ausgleichsausgleich sowie Fehlerbehebung für neuere Anwendungen.
Jede Anwendung ist heute entweder direkt oder indirekt mit dem Internet verbunden, fügte Kulkarni hinzu und erklärte, dass die Auswirkungen von Sicherheitslücken potenziell Hunderttausende von Endbenutzern, wenn nicht sogar Millionen, betreffen können.
Kulkarni schlug vor, dass Organisationen die Verantwortung für die Sicherheit breiter auf alle Beteiligten verteilen, über die Sicherheits- und IT-Teams hinaus, denen oft das Budget oder die Ressourcen fehlen, um mit Sicherheit sorgfältig umzugehen.
“Sicherheit ist ein Mannschaftssport und seit langem wird den Sicherheits- und IT-Teams ein überproportionaler Anteil an Verantwortung übertragen.
p„Entwicklungsteams stehen unter Zeitdruck und sind nicht in der Lage, mehrere Stunden dedizierter Sicherheitsschulungen zu jedem Zeitpunkt zu absolvieren. Ein besserer Ansatz besteht darin, dass die Sicherheitsteams die 1-3 größten Schwachstellen identifizieren, die in ihren Anwendungen im Trend liegen testen und bieten Entwicklungsteams mundgerechte Schulungen an, die sich auf diese Schwachstellen konzentrieren.”
Microsofts Vorab-Sicherheitsbenachrichtigungsdienst nicht mehr öffentlich verfügbar
Microsoft nimmt seinen Vorabbenachrichtigungsdienst privat und behauptet, dass Die Änderung ist auf Änderungen in der Art und Weise zurückzuführen, wie Benutzer ihre Sicherheitsvorabbenachrichtigungen wünschen.
Weiterlesen
Verwandte Themen:
IT-Prioritäten Sicherheit TV-Daten Verwaltung von CXO-Rechenzentren 