Ключевые показатели безопасности приложений показывают мало признаков улучшения



Новое исследование показывает, что большинство организаций, похоже, мало продвинулись в решении проблем безопасности приложений, несмотря на все повышенные опасения по поводу этой темы.

Исследование, проведенное исследователями из NTT Software Safety, основано на данных примерно 15 миллионов сканирований, в основном веб-приложений, подключенных к Интернету, в местах расположения клиентов до 2021 года. В прошлом году организациям потребовалось в среднем более шести месяцев (193,1 дня), чтобы исправить критическую уязвимость в системе безопасности, или почти столько же времени, сколько они заняли в 2020 году (194,8). За тот же период организации в среднем также исправили меньше уязвимостей в процентах от общего количества.

Данные NTT показывают, что уровень устранения критических уязвимостей в среднем снизился до 47 % в 2021 г. с 54 % в 2020 г. Другими словами, в прошлом году организации не устранили более половины (53 %) известных критических уязвимостей. Исследование NTT показывает еще более ужасные показатели для менее серьезных недостатков — в 2021 году организации в среднем исправили только 36% ошибок с высокой степенью серьезности и 33% ошибок со средней степенью серьезности в своих средах.

Неудивительно, что в 2021 году половина всех сайтов, участвовавших в исследовании NTT, имела по крайней мере одну серьезную уязвимость, которую можно использовать. В некоторых отраслях такой уязвимости подвергался больший процент сайтов. Пятьдесят девять процентов сайтов в сфере розничной торговли — одном из наиболее целевых секторов — имели по крайней мере одну серьезную уязвимость в течение 2021 года. В секторе коммунальных услуг 63% сайтов постоянно подвергались атакам в прошлом году из-за хотя бы одной уязвимости, которую можно использовать. ; в сфере профессиональных, научных и технических услуг этот показатель был еще выше – 65%.

«Проще говоря, большинство этих показателей ведут в неправильном направлении», — говорит Зак Джонс, старший директор по исследованиям в области обнаружения в NTT Software Safety. По его словам, показатели устранения уязвимостей приложений и время, которое в среднем потребовалось организациям в прошлом году для устранения недостатков, по-прежнему далеки от желаемых целей, которые часто пытаются достичь службы безопасности.

«Например, большинство команд стремятся устранить критические уязвимости, обнаруженные в их приложениях, в течение 30 дней, — говорит Джонс. «Однако, глядя на наши данные, мы видим, что на устранение критической уязвимости уходит в среднем 193 дня».

Может быть несколько причин, по которым организациям трудно улучшать критические показатели безопасности приложений, такие как время на исправление, скорость исправления и общее окно уязвимости. Но одной общей темой является то, что команды разработчиков программного обеспечения постоянно уделяют приоритетное внимание новым функциям и функциям приложений, а не безопасности, говорит Джонс.

Несколько экспертов по безопасности отметили, что ускоренное внедрение инициатив в области цифровых технологий во многих организациях после пандемии COVID-19 только усугубило эту тенденцию за последние два года.

«Команды AppSec превосходят численностью 100 к 1, — говорит Марк Ламберт, вице-президент по продуктам ArmorCode. По его словам, команды разработчиков и безопасности также по-прежнему разобщены и разъединены.

«Это приводит к тому, что релизы выходят быстро и яростно с известными уязвимостями», — говорит Ламберт. «Когда выявляются новые уязвимости, командам приходится срочно реагировать».

Журнал уязвимостей
Кевин Данн, президент Pathlock, выделяет еще одну проблему: продолжающийся рост числа обнаруженных уязвимостей в коде приложений.

«Количество уязвимостей продолжает расти по мере того, как хакеры становятся все более активными, а более важные системы и сайты перемещаются в общедоступную сеть», — говорит он, добавляя, что многие компании изо всех сил пытаются справиться с накопившимися уязвимостями, которые необходимо устранить.

Данные NTT также свидетельствуют о том, что внимание общественности и средств массовой информации могло хотя бы в некоторой степени повлиять на решения об устранении уязвимостей в прошлом году. Например, организациям потребовалось в среднем 193,1 дня для исправления критических недостатков в 2021 году, что, хотя и ненамного лучше, чем 194,8 дня, которое потребовалось в 2020 году, все же было на 1,7 дня быстрее. В то же время показатели времени исправления менее серьезных недостатков в прошлом году имели противоположную тенденцию.

В 2021 году организациям в среднем требовалось больше времени для устранения недостатков высокой, средней и низкой серьезности, чем в 2020 году.

По словам Джонса, именно такие результаты проявляются, когда группы безопасности приложений уделяют больше внимания одному классу недостатков, чем другим. «Данные показывают, что сокращение времени на устранение критической уязвимости часто коррелирует с увеличением времени, которое требуется для устранения менее серьезных — хотя и все же серьезных — уязвимостей», — говорит он.

В последнее время наиболее распространенный класс уязвимостей в средах веб-приложений включал утечку данных, недостаточную защиту транспортного уровня, межсайтовые сценарии, межсайтовые подделки, подделку контента и недостаточную авторизацию.

https://cyberxhack.org/