Un nuovo rapporto di NTT Application Security ha rilevato che le applicazioni utilizzate dalle organizzazioni nel settore dell'istruzione hanno una finestra di esposizione in miglioramento nonostante abbiano tassi di riparazione inferiori e un tempo di riparazione superiore alla media.
Questo mese, l'NTT Il team di ricerca sulla sicurezza delle applicazioni si è concentrato sulle minacce informatiche mirate alle applicazioni educative poiché i problemi di sicurezza in quel settore continuano a crescere con l'inizio dell'anno scolastico.
Gli ambienti di apprendimento online accelerati a causa della pandemia e dei considerevoli tassi di ransomware e attacchi di phishing contro le scuole primarie e secondarie hanno aumentato l'attenzione sulle sfide uniche di sicurezza informatica che queste organizzazioni devono affrontare.
Secondo il rapporto, sebbene l'esposizione alle violazioni nel settore dell'istruzione sia rimasta relativamente costante quest'anno, ci vuole più tempo per correggere le vulnerabilità di gravità elevata rispetto ad altri settori (206 giorni contro 201 giorni).
Inoltre, le applicazioni nel settore dell'istruzione mostrano un aumento del tasso di finestra di esposizione (WoE), passando al 57% ad agosto dal 53% del mese scorso.
Setu Kulkarni, vice presidente della strategia presso NTT Application Security, ha dichiarato a ZDNet che il settore dell'istruzione ha mostrato una tendenza positiva per quanto riguarda WoE.
“Quando abbiamo completato la ricerca, è stato sorprendente vedere che meno del 50%, in realtà solo il 46% delle vulnerabilità critiche viene risolto. È un tasso di riparazione incredibilmente basso, ma è solo metà della storia. Per quel 46% di le vulnerabilità che vengono risolte, in media occorrono più di 200 giorni per correggere una vulnerabilità critica una volta che un'organizzazione decide di affrontare la vulnerabilità”, ha spiegato Kulkarni.
“Questi due fattori contribuiscono in maggioranza all'elevata esposizione alle violazioni per le applicazioni, ovvero le applicazioni hanno un WoE inaccettabile per gli attacchi. Inoltre, il mix di gravi vulnerabilità è rimasto costante nel tempo e ciò significa, gli attaccanti non devono sforzarsi troppo”.
Nonostante i problemi, i dati indicano che le organizzazioni nel settore dell'istruzione sono iper-concentrate sulla correzione delle vulnerabilità critiche all'interno di alcune delle loro applicazioni web e Kulkarni ha affermato che questo approccio sembra funzionare, poiché le metriche della finestra di esposizione del settore, altrimenti stabili, stanno migliorando.
Il settore dell'istruzione ha una delle migliori metriche della finestra di esposizione (meno di un mese) in tutti i settori, secondo il rapporto.
I ricercatori hanno scoperto che il 53% delle applicazioni nel settore dell'istruzione ha almeno una vulnerabilità critica sfruttabile durante tutto l'anno, eppure il 34% di queste applicazioni ha una finestra di esposizione inferiore a un mese. Ciò significa che le vulnerabilità gravi nel 34% delle applicazioni del settore vengono risolte entro un mese.
Kulkarni ha affermato che, andando avanti, è necessario concentrarsi sulla riduzione del tempo medio per correggere le vulnerabilità critiche e di elevata gravità. , che sono fondamentali per migliorare il WoE e, di conseguenza, il livello di sicurezza generale delle applicazioni.
“Le statistiche sulla sicurezza delle applicazioni per il settore dell'istruzione indicano un'eccessiva attenzione tra le organizzazioni in questo settore su una manciata di applicazioni Web critiche e sulla correzione di una manciata di vulnerabilità critiche in tali applicazioni”, ha aggiunto Kulkarni.
“Per accelerare il miglioramento della posizione generale di sicurezza delle applicazioni nel settore dell'istruzione, le organizzazioni del settore dovrebbero espandere il proprio approccio per identificare la superficie di attacco complessiva e mettere in atto un programma sistematico che copra progressivamente tutte le applicazioni”.
Kulkarni ha anche suggerito che le organizzazioni educative forniscano formazione sulla sicurezza agli studenti e richiedono che i prodotti SaaS e non SaaS siano accuratamente controllati per individuare eventuali vulnerabilità.
Sicurezza
T-Mobile hack: tutto ciò che desideri bisogno di sapere Recensione VPN Surfshark: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA La minaccia ransomware è in crescita: cosa deve succedere per impedire che gli attacchi peggiorino? (ZDNet YouTube)
Argomenti correlati:
Data Management Security TV CXO Data Center 