การกำหนดค่าผิดพลาด ช่องโหว่ที่พบใน 95% ของแอปพลิเคชัน

แอปพลิเคชันเกือบทุกตัวมีช่องโหว่หรือการกำหนดค่าที่ไม่ถูกต้องอย่างน้อยหนึ่งรายการซึ่งส่งผลต่อความปลอดภัย และหนึ่งในสี่ของการทดสอบแอปพลิเคชันพบว่ามีช่องโหว่ในระดับรุนแรงหรือรุนแรงมาก การศึกษาใหม่แสดงให้เห็นว่า

การกำหนดค่า SSL และ TLS ที่อ่อนแอ ส่วนหัวนโยบายความปลอดภัยของเนื้อหา (CSP) ที่ขาดหายไป และการรั่วไหลของข้อมูลผ่านแบนเนอร์เซิร์ฟเวอร์ติดอันดับรายการปัญหาซอฟต์แวร์ที่มีผลกระทบด้านความปลอดภัย ตามการค้นพบในกลุ่มเครื่องมือซอฟต์แวร์และฮาร์ดแวร์ของกลุ่มบริษัท Synopsys 'Software Vulnerabilities Snapshot Snapshot 2022 ที่เผยแพร่ในวันนี้ . แม้ว่าการกำหนดค่าและช่องโหว่ที่ไม่ถูกต้องจำนวนมากจะถือว่ามีความรุนแรงปานกลางหรือน้อยกว่า แต่อย่างน้อย 25% ได้รับการจัดอันดับเป็นระดับสูงหรือรุนแรงมาก

ปัญหาการกำหนดค่ามักจะอยู่ในกลุ่มที่มีความรุนแรงน้อยกว่า แต่ปัญหาการกำหนดค่าและการเข้ารหัสก็มีความเสี่ยงเท่ากัน Ray Kelly เพื่อนร่วมงานของ Software Integrity Group ที่ Synopsys กล่าว

“นี่ชี้ให้เห็นว่า [ในขณะที่] องค์กรต่างๆ อาจทำงานได้ดีในการสแกนแบบคงที่เพื่อลดจำนวนช่องโหว่ในการเข้ารหัส แต่พวกเขาไม่ได้คำนึงถึงการกำหนดค่า เนื่องจากอาจทำได้ยากกว่า” เขากล่าว “น่าเสียดายที่การสแกนการทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่ (SAST) ไม่สามารถทำการตรวจสอบการกำหนดค่าได้ เนื่องจาก [พวกเขา] ไม่มีความรู้เกี่ยวกับสภาพแวดล้อมการใช้งานจริงที่จะปรับใช้โค้ด”

ข้อมูลนี้กล่าวถึงประโยชน์ของการใช้เครื่องมือหลายอย่างในการวิเคราะห์ซอฟต์แวร์เพื่อหาช่องโหว่และการกำหนดค่าที่ไม่ถูกต้อง 

ตัวอย่างเช่น การทดสอบการเจาะระบบ ตรวจพบ 77% ของปัญหาการกำหนดค่า SSL/TLS ที่อ่อนแอ ในขณะที่การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (DAST) ตรวจพบปัญหาใน 81% ของการทดสอบ ทั้งเทคโนโลยีและการทดสอบความปลอดภัยของแอปพลิเคชันมือถือ (MAST) นำไปสู่ปัญหาที่ถูกค้นพบในการทดสอบ 82% ตามรายงานของ Synopsys.

บริษัทรักษาความปลอดภัยแอปพลิเคชันอื่นๆ ก็มีเอกสารผลลัพธ์ที่คล้ายคลึงกัน ตัวอย่างเช่น ในทศวรรษที่ผ่านมา มีการสแกนแอปพลิเคชันมากกว่าสามเท่า และแต่ละแอปพลิเคชันถูกสแกนบ่อยขึ้น 20 เท่า Veracode ระบุไว้ในรายงาน “สถานะความปลอดภัยของซอฟต์แวร์” ในเดือนกุมภาพันธ์. แม้ว่ารายงานดังกล่าวจะพบว่า 77% ของไลบรารีบุคคลที่สามยังคงไม่สามารถกำจัดช่องโหว่ที่เปิดเผยได้ภายในสามเดือนหลังจากที่มีการรายงานปัญหา แต่รหัสแพตช์ก็ถูกนำมาใช้เร็วขึ้นสามเท่า

บริษัทซอฟต์แวร์ที่ใช้การสแกนแบบไดนามิกและแบบคงที่ในคอนเสิร์ตแก้ไขข้อบกพร่องครึ่งหนึ่งได้เร็วกว่า 24 วัน Veracode กล่าว

“การทดสอบและการบูรณาการอย่างต่อเนื่อง ซึ่งรวมถึงการสแกนความปลอดภัยในไปป์ไลน์ กำลังกลายเป็นบรรทัดฐาน” บริษัทระบุไว้ในบล็อกโพสต์ในขณะนั้น.

ไม่ใช่แค่ SAST ไม่ใช่แค่ DAST

Synopsys เผยแพร่ข้อมูลจากการทดสอบต่างๆ มากมาย โดยแต่ละการทดสอบมีผู้กระทำผิดอันดับต้นๆ ที่คล้ายกัน การกำหนดค่าเทคโนโลยีการเข้ารหัสที่อ่อนแอ — กล่าวคือ Secure Sockets Layer (SSL) และ Transport Layer Security (TLS) — ติดอันดับชาร์ตสำหรับการทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่ ไดนามิก และบนมือถือ เป็นต้น

อย่างไรก็ตาม ประเด็นปัญหาจะแยกออกไปอีกตามรายการ การทดสอบการเจาะระบบระบุนโยบายรหัสผ่านที่ไม่รัดกุมในหนึ่งในสี่ของแอปพลิเคชันและสคริปต์ข้ามไซต์ใน 22% ในขณะที่ DAST ระบุว่าแอปพลิเคชันขาดการหมดเวลาเซสชันที่เพียงพอในการทดสอบ 38% และแอปพลิเคชันที่เสี่ยงต่อการคลิกแจ็คในการทดสอบ 30%

การทดสอบแบบคงที่และไดนามิกตลอดจนการวิเคราะห์องค์ประกอบของซอฟต์แวร์ (SCA) ล้วนมีข้อดีและควรใช้ร่วมกันเพื่อให้มีโอกาสสูงสุดในการตรวจจับการกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ที่อาจเกิดขึ้น Kelly จาก Synopsys กล่าว

“ต้องบอกว่าแนวทางแบบองค์รวมต้องใช้เวลา ทรัพยากร และเงิน ดังนั้นสิ่งนี้อาจไม่สามารถทำได้สำหรับหลายๆ องค์กร” เขากล่าว “การสละเวลาในการออกแบบความปลอดภัยในกระบวนการยังสามารถช่วยค้นหาและกำจัดช่องโหว่ให้ได้มากที่สุดเท่าที่จะเป็นไปได้ ไม่ว่าจะเป็นประเภทใดก็ตาม เพื่อให้การรักษาความปลอดภัยเป็นไปในเชิงรุกและความเสี่ยงลดลง”

โดยรวมแล้วบริษัทรวบรวมข้อมูลจากการทดสอบเกือบ 4,400 ครั้งในโปรแกรมมากกว่า 2,700 รายการ การเขียนสคริปต์ข้ามไซต์เป็นช่องโหว่ที่มีความเสี่ยงสูงอันดับต้นๆ โดยคิดเป็น 22% ของช่องโหว่ที่พบ ในขณะที่การแทรก SQL เป็นหมวดหมู่ช่องโหว่ที่สำคัญที่สุด ซึ่งคิดเป็น 4%

อันตรายจากห่วงโซ่อุปทานซอฟต์แวร์

ด้วยซอฟต์แวร์โอเพ่นซอร์สที่ประกอบด้วย เกือบ 80% ของโค้ดเบสไม่ใช่เรื่องน่าแปลกใจเลยที่ 81% ของโค้ดเบสมีช่องโหว่อย่างน้อยหนึ่งช่องโหว่ และอีก 85% มีคอมโพเนนต์โอเพ่นซอร์สที่ล้าสมัยไปสี่ปี

อย่างไรก็ตาม Synopsys พบว่าแม้จะมีข้อกังวลเหล่านั้น แต่ช่องโหว่ด้านความปลอดภัยในห่วงโซ่อุปทานและส่วนประกอบซอฟต์แวร์โอเพ่นซอร์สคิดเป็นประมาณหนึ่งในสี่ของปัญหาเท่านั้น รายงานระบุว่าช่องโหว่ด้านความปลอดภัยประเภท Libraries Third-Party Libraries ในการใช้งาน ถูกค้นพบใน 21% ของการทดสอบการเจาะระบบ และ 27% ของการทดสอบการวิเคราะห์แบบคงที่

สาเหตุส่วนหนึ่งที่ทำให้ส่วนประกอบซอฟต์แวร์มีช่องโหว่ต่ำกว่าที่คาดอาจเป็นเพราะการวิเคราะห์องค์ประกอบของซอฟต์แวร์ (SCA) มีการใช้กันอย่างแพร่หลายมากขึ้น Kelly กล่าว

“ปัญหาประเภทนี้สามารถพบได้ในระยะแรกของวงจรการพัฒนาซอฟต์แวร์ (SDLC) เช่น ระยะการพัฒนาและ DevOps ซึ่งจะช่วยลดจำนวนที่ทำให้เกิดการผลิต” เขากล่าว