Väärinmääritykset, haavoittuvuudet löytyvät 95 %:sta sovelluksista

Lähes jokaisessa sovelluksessa on vähintään yksi haavoittuvuus tai virheellinen määritys, joka vaikuttaa turvallisuuteen, ja neljännes sovellustesteistä löysi erittäin tai kriittisesti vakavan haavoittuvuuden, uusi tutkimus osoittaa.

Heikot SSL- ja TLS-määritykset, puuttuva Content Security Policy (CSP) -otsikko ja tietovuoto palvelinbannerien kautta olivat tietoturvanäkökohtien listan kärjessä ohjelmisto- ja laitteistotyökaluryhmittymän Synopsysin tänään julkaistun uuden Software Vulnerabilities Snapshot 2022 -raportin havaintojen mukaan. . Vaikka monet virheellisistä määrityksistä ja haavoittuvuuksista katsotaan keskivakaviksi tai vähemmän vakaviksi, vähintään 25 % luokitellaan erittäin tai kriittisesti vakaviksi.

Kokoonpano-ongelmat asetetaan usein vähemmän vakavaan ryhmään, mutta sekä konfigurointi- että koodausongelmat ovat yhtä vaarallisia, sanoo Ray Kelly, Synopsysin Software Integrity Groupin stipendiaatti.

"Tämä todellakin vain osoittaa, että vaikka organisaatiot voivat tehdä hyvää työtä staattisten tarkistusten tekemisessä koodaushaavoittuvuuksien määrän vähentämiseksi, ne eivät ota huomioon määrityksiä, koska se voi olla vaikeampaa", hän sanoo. "Valitettavasti staattiset sovellusten suojaustestit (SAST) eivät voi suorittaa konfiguraatiotarkistuksia, koska [heillä] ei ole tietoa tuotantoympäristöstä, jossa koodi otetaan käyttöön."

Tiedot puhuvat useiden työkalujen käytön eduista ohjelmiston haavoittuvuuksien ja virheellisten määritysten varalta. 

Esimerkiksi tunkeutumistestit havaitsivat 77 % heikkoista SSL/TLS-kokoonpanoongelmista, kun taas dynaaminen sovellusten tietoturvatestaus (DAST) havaitsi ongelman 81 %:ssa testeistä. Molemmat tekniikat sekä mobiilisovellusten tietoturvatestaus (MAST) johtivat siihen, että ongelma havaittiin 82 prosentissa testeistä, Synopsysin raportin mukaan.

Muut sovellusturvayritykset ovat dokumentoineet samanlaisia ​​tuloksia. Esimerkiksi viimeisen vuosikymmenen aikana sovelluksia tarkistetaan kolme kertaa enemmän ja jokainen 20 kertaa useammin, Veracode totesi "State of Software Security" -raportissaan helmikuussa. Vaikka raportissa todettiin, että 77 % kolmansien osapuolien kirjastoista ei ollut vieläkään poistanut paljastettua haavoittuvuutta kolmen kuukauden kuluttua ongelmasta, korjauskoodi otettiin käyttöön kolme kertaa nopeammin.

Dynaamista ja staattista skannausta yhdessä käyttävät ohjelmistoyritykset korjasivat puolet puutteista 24 päivää nopeammin, Veracode totesi.

"Jatkuvasta testauksesta ja integroinnista, joka sisältää turvatarkistuksen putkissa, on tulossa normi", yritys totesi tuolloin blogikirjoituksessaan.

Ei vain SAST, ei vain DAST

Synopsys julkaisi tietoja useista erilaisista testeistä, joista jokaisessa oli samanlaisia ​​​​huippurikollisia. Salaustekniikan heikot konfiguraatiot – Secure Sockets Layer (SSL) ja Transport Layer Security (TLS) – nousivat esimerkiksi staattisten, dynaamisten ja mobiilisovellusten tietoturvatestien listan kärkeen.

Silti ongelmat eroavat yhä alempana luetteloissa. Läpäisytestit havaitsivat heikkoja salasanakäytäntöjä neljänneksellä sovelluksista ja sivustojen väliset komentosarjat 22 prosentissa, kun taas DAST havaitsi sovelluksia, joilla ei ollut riittävää istunnon aikakatkaisua 38 prosentissa testeistä ja sovelluksia, jotka olivat alttiita napsautukselle 30 prosentissa testeistä.

Staattisella ja dynaamisella testauksella sekä ohjelmiston koostumusanalyysillä (SCA) on kaikilla etuja, ja niitä tulisi käyttää yhdessä, jotta niillä on suurin mahdollisuus havaita mahdolliset virheelliset kokoonpanot ja haavoittuvuudet, sanoo Synopsys's Kelly.

"Tästä huolimatta kokonaisvaltainen lähestymistapa vie aikaa, resursseja ja rahaa, joten se ei välttämättä ole mahdollista monille organisaatioille", hän sanoo. "Ajan käyttäminen turvallisuuden suunnitteluun prosessissa voi myös auttaa löytämään ja poistamaan mahdollisimman monta haavoittuvuutta – niiden tyypistä riippumatta – matkan varrella, jotta tietoturva on ennakoivaa ja riskit pienenevät."

Kaiken kaikkiaan yritys keräsi tietoja lähes 4,400 2,700 testistä yli 22 4 ohjelmalla. Sivujen välinen komentosarja oli suurin riskialttiiden haavoittuvuuksien osuus, joka vastasi XNUMX % löydetyistä haavoittuvuuksista, kun taas SQL-injektio oli kriittisin haavoittuvuusluokka, XNUMX %.

Ohjelmiston toimitusketjun vaarat

Avoimen lähdekoodin ohjelmistolla, joka sisältää lähes 80 % koodikannoista, ei ole yllätys, että 81 prosentissa koodikantoista on vähintään yksi haavoittuvuus ja toisessa 85 prosentissa avoimen lähdekoodin komponentti, joka on neljä vuotta vanhentunut.

Silti Synopsys havaitsi, että näistä huolista huolimatta toimitusketjun tietoturvan ja avoimen lähdekoodin ohjelmistokomponenttien haavoittuvuudet aiheuttivat vain noin neljänneksen ongelmista. Haavoittuvien kolmansien osapuolien käytössä olevien kirjastojen suojausheikkouksien luokka paljastui 21 prosentissa läpäisytesteistä ja 27 prosentissa staattisen analyysin testeistä, raportin mukaan.

Osa syynä ohjelmistokomponenttien odotettua pienemmille haavoittuvuuksille voi johtua siitä, että ohjelmiston koostumusanalyysin (SCA) käyttö on yleistynyt, Kelly sanoo.

"Tällaisia ​​ongelmia löytyy ohjelmistokehityksen elinkaaren (SDLC) alkuvaiheista, kuten kehitys- ja DevOps-vaiheista, mikä vähentää tuotantoon päätyvien määrää", hän sanoo.