En ny rapport från NTT Application Security har funnit att applikationer som används av organisationer inom utbildningssektorn har ett bättre exponeringsfönster trots att de har lägre reparationshastigheter och en högre tid än genomsnittet att fixa.
Den här månaden har NTT Applikationssäkerhetens forskargrupp fokuserade på cyberhot som riktar sig till utbildningstillämpningar eftersom säkerhetsproblem i den sektorn fortsätter att växa med läsåret som börjar.
Accelererade inlärningsmiljöer online på grund av pandemin och stora ransomware- och nätfiskeattacker mot K-12-skolor har ökat fokus på de unika cybersäkerhetsutmaningar som dessa organisationer står inför.
Enligt rapporten, även om utbildningssektorns överträdelseexponering har varit relativt konsekvent i år, tar det längre tid att åtgärda sårbarheter med hög svårighetsgrad jämfört med andra branscher (206 dagar mot 201 dagar).
Dessutom visar applikationer inom utbildningssektorn en ökad Window of Exposure (WoE) -hastighet, som steg till 57% i augusti från 53% förra månaden.
Setu Kulkarni, vice president för strategi på NTT Application Security, berättade för ZDNet att utbildningssektorn visade en positiv trend när det gäller WoE.
“När vi slutförde forskningen var det förvånande att se att mindre än 50%, faktiskt bara 46% av de kritiska sårbarheterna någonsin är fixade. Det är en chockerande låg åtgärdshastighet, men det är bara hälften av historien. För de 46% av sårbarheterna som åtgärdas, i genomsnitt tar det över 200 dagar att åtgärda en kritisk sårbarhet när en organisation bestämmer sig för att ta itu med sårbarheten, förklarade Kulkarni.
“Dessa två faktorer är majoritetsbidragare till den höga överträdelseexponeringen för applikationer – det vill säga att applikationer har en oacceptabel WoE för attacker. Dessutom har blandningen av allvarliga sårbarheter förblivit konstant över tiden och det betyder, angriparna behöver inte försöka för hårt. ”
Trots problemen indikerar data att organisationer inom utbildningssektorn är hyperfokuserade på att åtgärda kritiska sårbarheter inom några av sina webbapplikationer och Kulkarni sa att detta tillvägagångssätt verkar fungera, eftersom sektorns annars stabila Window of Exposure-mätvärden nu förbättras.
Utbildningssektorn har en av de bästa mätvärdena för exponeringsfönster (mindre än en månad) inom alla sektorer, enligt rapporten.
Forskarna fann att 53% av ansökningarna inom utbildningssektorn har minst en kritisk sårbarhet som kan utnyttjas under hela året, men 34% av dessa applikationer har ett exponeringsfönster på mindre än en månad. Detta innebär att allvarliga sårbarheter i 34% av applikationerna inom sektorn behandlas inom en månad.
Kulkarni sa att framåt måste det fokuseras på att minska den genomsnittliga tiden för att åtgärda kritiska och allvarliga sårbarheter , som är avgörande för att förbättra WoE och följaktligen den övergripande säkerhetsställningen för applikationer.
“Statistiken för applikationssäkerhet för utbildningssektorn indikerar ett hyperfokus bland organisationer i denna sektor på en handfull kritiska webbapplikationer och att fixa en handfull kritiska sårbarheter i dessa applikationer”, tillade Kulkarni.
“För att påskynda förbättringen av utbildningssektorns övergripande säkerhetsställning för applikationer bör organisationer inom sektorn utöka sitt tillvägagångssätt för att identifiera sin övergripande attackyta och inrätta ett systematiskt program som gradvis täcker alla applikationer.”
Kulkarni föreslog också att utbildningsorganisationer tillhandahåller säkerhetsutbildning till studenter och kräver att SaaS- och icke-SaaS-produkter kontrolleras noggrant med avseende på sårbarheter.
Säkerhet
T-Mobile-hack: Allt du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker som blir värre? (ZDNet YouTube)
Relaterade ämnen:
Datahantering Säkerhet TV CXO Datacenter