Un numero preoccupante di applicazioni di uso comune presenta falle di sicurezza molto gravi, in particolare quelle utilizzate dalle aziende del settore tecnologico, secondo una nuova ricerca.
Un rapporto Veracode che ha analizzato 20 milioni di scansioni su mezzo milione di applicazioni tra tecnologia, produzione, vendita al dettaglio, servizi finanziari, sanità e governo ha rilevato che il 24% delle applicazioni nel settore tecnologico presenta difetti di gravità elevata.
Comparativamente, questa è la seconda percentuale più alta di applicazioni con vulnerabilità di sicurezza (79%), con solo il settore pubblico che ha la situazione peggiore (82%).
correggere i difetti
Tra i tipi più comuni di vulnerabilità ci sono le configurazioni dei server, le dipendenze non sicure e le fughe di informazioni, afferma il rapporto, affermando che questi risultati "seguono ampiamente" un modello simile ad altri settori. Tuttavia, il settore presenta la più ampia disparità rispetto alla media del settore quando si tratta di questioni legate alle criptovalute e fughe di informazioni, portando i ricercatori a speculare su come gli sviluppatori tecnologici del settore siano più informati sulle sfide della protezione dei dati.
Quando si tratta del numero di problemi risolti, il settore tecnologico si trova da qualche parte nel mezzo. Tuttavia, le aziende sono relativamente veloci nel risolvere i problemi. Ci vogliono fino a 363 giorni per correggere il 50% dei difetti. Anche se questo è migliore della media, c'è ancora molta strada da fare, ha aggiunto Veracode.
Per Chris Eng, direttore della ricerca presso Veracode, non si tratta solo di trovare bug, ma anche di ridurre il numero di bug introdotti nel codice in primo luogo. Inoltre, ritiene che le aziende dovrebbero concentrarsi maggiormente sull'automazione dei test di sicurezza.
"Log4j ha lanciato un campanello d'allarme per molte organizzazioni lo scorso dicembre. Questo è stato seguito da un'azione del governo sotto forma di linee guida da parte dell'Office of Management and Budget (OMB) e dell'European Cyber Resiliency Act, entrambi incentrati sulla catena di fornitura ", ha affermato Eng. "Per migliorare le prestazioni nel prossimo anno, le aziende tecnologiche non dovrebbero solo prendere in considerazione strategie che aiutino gli sviluppatori a ridurre il tasso di vulnerabilità introdotte nel codice, ma anche porre maggiore enfasi sull'automazione dei test di sicurezza nell'integrazione continua/distribuzione continua ( CI/CD) per guadagnare efficienza »
I criminali informatici spesso scansionano le applicazioni accessibili da Internet utilizzate dalle aziende alla ricerca di vulnerabilità e falle nel codice. Quando ne trovano uno, lo usano spesso per distribuire web shell, che poi danno loro accesso alla rete aziendale e agli endpoint (Si apre in una nuova scheda). Dopo aver mappato la rete e identificato tutti i dispositivi e i dati, possono lanciare la seconda fase dell'attacco, che di solito consiste in ransomware, malware o data wiper.