Выявлено тревожно большое количество приложений с серьезными недостатками безопасности

Выявлено тревожно большое количество приложений с серьезными недостатками безопасности. Фото: СС0

В отчете Veracode, анализирующем 20 млн сканирований 500 тыс. приложений в сфере технологий, производства, розничной торговли, финансовых услуг, здравоохранения и государственного сектора, было обнаружено, что 24% приложений в технологическом секторе содержат серьезные недостатки. 

Для сравнения, это вторая по величине доля приложений с недостатками безопасности (79%), и только в государственном секторе дела обстоят хуже (82%).

В отчете также говорится, что среди наиболее распространенных типов уязвимостей — конфигурации серверов, незащищенные зависимости и утечка информации. Тем не менее, когда речь идет о криптографических проблемах и утечке информации, этот сектор имеет самое большое отклонение от среднего показателя по отрасли.

Когда дело доходит до количества исправленных проблем, технический сектор находится где-то посередине списка. Однако компании относительно быстро решают проблемы. Им требуется до 363 дней, чтобы исправить 50% недостатков. Хотя это лучше, чем в среднем, есть еще много возможностей для улучшения, добавили исследователи Veracode. 

Для главного научного сотрудника Veracode Криса Энга речь идет не только об обнаружении недостатков, но и, в первую очередь, об уменьшении количества недостатков, внесенных в код. Кроме того, он считает, что компаниям необходимо больше внимания уделять автоматизации тестирования безопасности.

Из сообщения главного научного сотрудника Veracode Криса Энга:

«Log4j стал тревожным сигналом для многих организаций в декабре прошлого года. Чтобы повысить производительность в следующем году, технологические компании должны не только рассмотреть стратегии, которые помогут разработчикам снизить количество ошибок, вносимых в код, но и уделить больше внимания автоматизации тестирования безопасности в конвейере непрерывной интеграции/непрерывной доставки (CI/CD)». 

Киберпреступники часто анализируют интернет-приложения, используемые предприятиями, на наличие уязвимостей и недостатков в коде. Когда они находят его, они используют его для развертывания веб-оболочек, которые впоследствии предоставляют им доступ к сети компании и конечным точкам. 

После составления карты сети и идентификации всех устройств и данных они могут начать вторую стадию атаки, которая часто представляет загрузку программы-вымогателя, вредоносного ПО или очистку данных. 

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Антивирус K7Security Suite используется для заражения вирусом LODEINFO.
• Программа-вымогатель выдаёт себя за антивирусное обновление Windows и опустошает кошельки жертв.
• Хакеры «научили» зловред отключать антивирусы.
• Способный скрываться от 50 антивирусов зловред обнаружили исследователи.