Выявлено тревожно большое количество приложений с серьезными недостатками безопасности
Выявлено тревожно большое количество приложений с серьезными недостатками безопасности. Фото: СС0
В отчете Veracode, анализирующем 20 млн сканирований 500 тыс. приложений в сфере технологий, производства, розничной торговли, финансовых услуг, здравоохранения и государственного сектора, было обнаружено, что 24% приложений в технологическом секторе содержат серьезные недостатки.
Для сравнения, это вторая по величине доля приложений с недостатками безопасности (79%), и только в государственном секторе дела обстоят хуже (82%).
В отчете также говорится, что среди наиболее распространенных типов уязвимостей — конфигурации серверов, незащищенные зависимости и утечка информации. Тем не менее, когда речь идет о криптографических проблемах и утечке информации, этот сектор имеет самое большое отклонение от среднего показателя по отрасли.
Когда дело доходит до количества исправленных проблем, технический сектор находится где-то посередине списка. Однако компании относительно быстро решают проблемы. Им требуется до 363 дней, чтобы исправить 50% недостатков. Хотя это лучше, чем в среднем, есть еще много возможностей для улучшения, добавили исследователи Veracode.
Для главного научного сотрудника Veracode Криса Энга речь идет не только об обнаружении недостатков, но и, в первую очередь, об уменьшении количества недостатков, внесенных в код. Кроме того, он считает, что компаниям необходимо больше внимания уделять автоматизации тестирования безопасности.
Из сообщения главного научного сотрудника Veracode Криса Энга:
«Log4j стал тревожным сигналом для многих организаций в декабре прошлого года. Чтобы повысить производительность в следующем году, технологические компании должны не только рассмотреть стратегии, которые помогут разработчикам снизить количество ошибок, вносимых в код, но и уделить больше внимания автоматизации тестирования безопасности в конвейере непрерывной интеграции/непрерывной доставки (CI/CD)».
Киберпреступники часто анализируют интернет-приложения, используемые предприятиями, на наличие уязвимостей и недостатков в коде. Когда они находят его, они используют его для развертывания веб-оболочек, которые впоследствии предоставляют им доступ к сети компании и конечным точкам.
После составления карты сети и идентификации всех устройств и данных они могут начать вторую стадию атаки, которая часто представляет загрузку программы-вымогателя, вредоносного ПО или очистку данных.
Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было