Una cantidad preocupante de aplicaciones de uso común tienen fallas de seguridad muy graves, especialmente las utilizadas por empresas del sector tecnológico, según una nueva investigación.
Un informe de Veracode que analizó 20 millones de escaneos en medio millón de aplicaciones en tecnología, fabricación, comercio minorista, servicios financieros, atención médica y gobierno encontró que el 24 % de las aplicaciones en el sector tecnológico tienen defectos de gran gravedad.
Comparativamente, esta es la segunda proporción más alta de aplicaciones con vulnerabilidades de seguridad (79%), y solo el sector público tiene la peor situación (82%).
ข้อบกพร่องที่ถูกต้อง
Entre los tipos más comunes de vulnerabilidades se encuentran las configuraciones del servidor, las dependencias inseguras y las fugas de información, afirma el informe, y dice que estos hallazgos «siguen en términos generales» un patrón similar al de otras industrias. Sin embargo, la industria tiene la mayor disparidad con el promedio de la industria cuando se trata de problemas de criptografía y fugas de información, lo que lleva a los investigadores a especular sobre cómo los desarrolladores de tecnología de la industria tienen más conocimiento sobre los desafíos de la protección de datos.
Cuando se trata de la cantidad de problemas resueltos, el sector tecnológico se encuentra en algún punto intermedio. Sin embargo, las empresas son relativamente rápidas para resolver problemas. Les toma hasta 363 días arreglar el 50% de los defectos. Aunque esto es mejor que el promedio, todavía queda un largo camino por recorrer, agregó Veracode.
Para Chris Eng, director de investigación de Veracode, no se trata solo de encontrar fallas, sino también de reducir la cantidad de fallas introducidas en el código en primer lugar. Además, cree que las empresas deben centrarse más en la automatización de las pruebas de seguridad.
«Log4j provocó una llamada de atención para muchas organizaciones en diciembre pasado. A esto le siguió la acción del gobierno en forma de orientación de la Oficina de Gestión y Presupuesto (OMB) y la Ley Cibernética Europea. Resiliencia, ambos de los cuales centrarse en la cadena de suministro», dijo Eng. «Para mejorar el rendimiento en el próximo año, las empresas de tecnología no solo deben considerar estrategias que ayuden a los desarrolladores a reducir la tasa de vulnerabilidades introducidas en el código, sino también poner más énfasis en la automatización de las pruebas de seguridad en el tubería de integración continua/entrega continua (CI/CD). para ganar eficiencia. »
Los ciberdelincuentes a menudo analizan las aplicaciones accesibles en Internet que utilizan las empresas en busca de vulnerabilidades y lagunas en el código. Cuando encuentran uno, a menudo lo usan para implementar shells web, que luego les dan acceso a la red corporativa y los puntos finales (se abre en una nueva pestaña). Después de mapear la red e identificar todos los dispositivos y datos, pueden lanzar la segunda etapa del ataque, que suele ser ransomware, malware o borrador de datos.
