Правительственные организации и образовательные учреждения, в частности, все чаще попадают в поле зрения хакеров по мере того, как серьезные веб-уязвимости распространяются по спирали.
Удаленное выполнение кода (RCE), межсайтовый скриптинг (XSS) и SQL-инъекция (SQLi) — все это главные нарушители программного обеспечения. Все три увеличиваются или колеблются вокруг одних и тех же тревожных цифр из года в год.
RCE, часто являющийся конечной целью злоумышленника, был главной причиной агрессии ИТ-специалистов после эксплойта Log4Shell. Эта уязвимость неуклонно растет с 2018 года.
Охранная фирма предприятия Инвикти выпустила в прошлом месяце отчет AppSec Indicator Spring 2022, в котором были выявлены веб-уязвимости более чем 939 клиентов по всему миру. Выводы получены в результате анализа крупнейшего набора данных с платформы Invicti AppSec — с более чем 23 миллиардами сканирований клиентских приложений и 282 000 обнаруженных уязвимостей прямого воздействия.
Исследование Invicti показывает, что треть как образовательных учреждений, так и государственных организаций столкнулись по крайней мере с одним случаем SQLi в прошлом году. Данные 23,6 млрд проверок безопасности подчеркивают острую потребность в комплексном подходе к безопасности приложений, поскольку в этом году государственные и образовательные организации по-прежнему подвержены риску SQL-инъекций.
Данные показывают, что многочисленные распространенные и хорошо изученные уязвимости продолжают множиться в веб-приложениях. Это также показывает, что постоянное присутствие этих уязвимостей представляет серьезный риск для организаций в каждой отрасли.
По словам президента и главного операционного директора Invicti Марка Раллса, в веб-приложениях по-прежнему распространены даже хорошо известные уязвимости. Организации должны получить контроль над своим состоянием безопасности, чтобы гарантировать, что безопасность является частью ДНК организационной культуры, процессов и инструментов, чтобы инновации и безопасность работали вместе.
«Мы увидели, что наиболее серьезные веб-уязвимости продолжают процветать, либо не меняясь, либо увеличиваясь в частоте за последние четыре года», — сказал Раллс TechNewsWorld.
Ключевые выводы
По словам Раллса, самым неожиданным аспектом исследования стала безудержная эскалация случаев SQL-инъекций, обнаруженных среди государственных и образовательных организаций.
Особенно беспокоит SQLi, частота которого за последние четыре года увеличилась на пять процентов. Этот тип веб-уязвимости позволяет злоумышленникам изменять или заменять запросы, которые приложение отправляет в свою базу данных. Это особенно касается организаций государственного сектора, которые часто хранят конфиденциальные личные данные и информацию.
RCE — это жемчужина в короне любого кибер-злоумышленника и вектор прошлогоднего мероприятия Log4Shell. Он также увеличился на пять процентов с 2018 года. Частота XSS увеличилась на шесть процентов.
«Эти тенденции нашли отражение во всех выводах отчета, что свидетельствует о тревожном состоянии дел с кибербезопасностью», — сказал Раллс.
Нехватка навыков, нехватка талантов
Еще одним большим сюрпризом для исследователей стало увеличение числа сообщений об уязвимостях, о которых сообщают организации, сканирующие свои активы. Причиной может быть множество причин. Но одним из основных виновников является отсутствие программного обеспечения, разработанного специально для кибербезопасности.
«Разработчикам, в частности, может потребоваться дополнительное обучение, чтобы в первую очередь избегать этих ошибок. Мы видели, что уязвимости не обнаруживаются даже на самых ранних стадиях разработки при сканировании», — пояснил Раллс.
Когда разработчики не устраняют уязвимости, они в конечном итоге подвергают риску свои организации. Он добавил, что имеющиеся инструменты автоматизации и интеграции могут помочь разработчикам быстрее устранить эти уязвимости и снизить потенциальные затраты для организации.
Не вините только веб-приложения
Веб-приложения сами по себе не становятся менее безопасными. Скорее это связано с усталостью, переутомлением и часто отсутствием опыта разработчиков.
Часто организации нанимают разработчиков, у которых нет необходимого опыта и подготовки в области кибербезопасности. По словам Раллса, в связи с продолжающимся стремлением к цифровой трансформации предприятия и организации оцифровывают и разрабатывают приложения для большего числа аспектов своей деятельности.
«Кроме того, количество новых веб-приложений, которые выходят на рынок каждый день, означает, что каждое дополнительное приложение представляет собой потенциальную уязвимость», — сказал он. Например, если в компании десять приложений, вероятность наличия одного SQLi меньше, чем если в компании 1000 приложений.
Применение лекарства
Бизнес-команды — будь то разработка или использование программного обеспечения — требуют как правильной парадигмы, так и правильных технологий. Это включает в себя определение приоритетов безопасных моделей проектирования, охватывающих все основы, и встраивание безопасности в процессы предварительного написания кода, лежащие в основе архитектуры приложения.
«Устраните разрозненность между командами, — посоветовал Роллс. «Особенно между безопасностью и развитием — и обеспечить наличие и повсеместное соблюдение общеорганизационных норм и стандартов».
Что касается инвестиций в инструменты AppSec для сдерживания растущего потока неисправного программного обеспечения, Раллс рекомендовал использовать надежные инструменты, которые:
- максимально автоматизировать;
- легко интегрироваться в существующие рабочие процессы;
- предоставлять аналитику и отчеты, чтобы показать доказательства успеха и указать, где требуется дополнительная работа.
Не забывайте о важности точности. «Необходимы инструменты с низким уровнем ложных срабатываний и четкими практическими рекомендациями для разработчиков. В противном случае вы потеряете время, ваша команда не воспользуется технологией, и ваша безопасность не улучшится», — заключил он.
Слепые зоны частично в игре
Роллс добавил, что серьезные взломы и опасные уязвимости продолжают выявлять «слепые зоны» организаций. В качестве доказательства взгляните на стремительное влияние Log4Shell.
Предприятия по всему миру пытались проверить, подвержены ли они RCE-атакам в широко используемой библиотеке Log4j. Некоторые из этих рисков становятся все более частыми, тогда как они должны исчезнуть навсегда. Все сводится к разрыву между реальным риском и стратегическим мандатом на инновации.
«Не всегда легко вовлечь всех в систему безопасности, особенно когда кажется, что безопасность сдерживает людей в завершении проекта или ее установка будет слишком дорогостоящей», — сказал Раллс.
Растущее число эффективных стратегий кибербезопасности и технологий сканирования может снизить частоту постоянных угроз и упростить устранение разрыва между безопасностью и инновациями.
