Lomha javítások segítik a weboldalak törését

A weboldalakat és a webes alkalmazásokat érintő súlyos sebezhetőségek száma csökkent, ugyanakkor a feltárt biztonsági rések befoltozása még mindig sok kívánni valót hagy maga után.
 

A WhiteHat Security egy érdekes tanulmányt tett közzé, amelyet több mint 650 szervezet 15 ezer weboldalának vizsgálata során szerzett tapasztalatok alapján állított össze. A jelentésben kitért a leggyakoribb sérülékenységekre, a hibák kezelésének mikéntjére, a fejlesztési megfontolásokra valamint a kockázatcsökkentő lépésekre.

A tanulmány egyik legfontosabb megállapítása, hogy az előző évekhez képest a vizsgálatokba bevont weboldalakon észrevehetően csökkent a sebezhetőségek száma. Az egy weboldalon feltárt súlyos hibák átlagos darabszáma 56-ra adódott. Ez 2012-ben 79, míg 2011-ben 230 volt. Vagyis egy csökkenő tendencia figyelhető meg, ami mindenképpen jó hír. (A WhiteHat Security súlyosnak azon sebezhetőségeket minősíti, amelyek révén a támadók átvehetik a felügyeletet, felhasználói fiókokhoz és bizalmas adatokhoz férhetnek hozzá, vagy megsérthetik a megfelelőségi követelményeket.) A legkevesebb biztonsági rést a kormányzati és a banki weblapok esetében lehetett kimutatni, igaz még így is átlagosan 8-11 súlyos hiba érintett egy-egy ilyen weboldalt.

A leggyakoribb biztonsági hibák

A WhiteHat Security kutatói szerint napjainkban a legtöbb problémát az XSS (Cross-site scripting) alapú támadásokra lehetőséget adó sérülékenységek okozzák. Ugyanakkor adatszivárgást vagy tartalomhamisítást lehetővé tevő hibák is szép számmal akadnak. A sebezhetőségek toplistájának legérdekesebb vonása azonban kétségtelenül az, hogy a sokat emlegetett SQL injection hibák jelentősen visszaszorultak, és a biztonsági problémáknak mindössze a 4 százalékát teszik ki.

Lassú foltozgatás

A biztonsági cég azért néhány rossz hírről is beszámolt. Ezek közül a legfontosabb, hogy a cégek többsége továbbra sem fordít kellő figyelmet és erőforrásokat arra, hogy a feltárt sérülékenységeket minél hamarabb orvosolja. A biztonsági rések felfedezése és megszüntetése között átlagosan 193 nap telik el. Ráadásul sok hibára megoldás sem születik. Viszont a kutatások igazolták, hogy a megfelelő szabályokat felállító szervezetek körében több sérülékenység javítására kerül sor, mint azon cégek esetében, amelyeknek nincsenek erre vonatkozó megfelelőségi előírásaik.

"Nyilvánvaló, hogy azon szervezetek, melyeknél nincs meg a megfelelő felelősségtudat, azt a megközelítést alkalmazzák miszerint addig várnak, amíg valami rossz be nem következik" - mondta Jeremiah Grossman, a WhiteHat Security műszaki igazgatója.

A tanulmányból az is kiderült, hogy a megkérdezett vállalatok 57 százaléka biztosít a fejlesztői számára biztonsági képzéseket. E szervezetek 40 százalékánál kevesebb sebezhetőség üti fel a fejét, mint azon vállalatok berkein belül, ahol az oktatásokra nem fordítanak kellő figyelmet. Ráadásul az ebből a szempontból felkészültebb cégek 59 százalékkal gyorsabban hárítják el a hibákat.

Javaslatok

A WhiteHat Security úgy látja, hogy a sérülékenységek számának további csökkentése érdekében a szervezeteknek olyan rendszert kell bevezetniük, amely alapján a felelősségre vonás megvalósulhat. Ennek ki kell terjednie a menedzsmentre, a biztonsági csoportokra és a fejlesztőkre is. Ezt követően érdemes felmérni az adott cégnél az összes üzemeltetett weboldalt. Azokat kockázati besorolásokkal kell ellátni annak függvényében, hogy mennyire kritikusak üzleti szempontból és milyen jellegű adatok kezelését végzik. Ha ez is megtörtént, akkor jöhet a sérülékenységek feltárása valamint azok megszüntetése.