Alkalmazásbiztonság: állandóan ugyanabba a gödörbe esünk
Az alkalmazások biztonsága nehezen biztosítható úgy, ha rendszeresen ugyanazokat a hibákat követjük el.A Micro Focus elemzése szerint az alkalmazások közel négyötöde tartalmaz legalább egy kritikus vagy súlyos sebezhetőséget. Fontos, hogy a fejlesztők mindent megtegyenek azért, hogy kiküszöböljék a sérülékenységekből fakadó kockázatokat. A biztonsági cég szakértői összegyűjtötték a leggyakoribb veszélyeket és nehézségeket, amelyek felmerülhetnek az alkalmazások biztonsága kapcsán.
Gondterhelt várakozás
Gyakran előfordul, hogy hosszabb ideig tart, mire elkészül a hibajavítás a már felfedezett sérülékenységek orvoslására. Így az adott szoftvert használó szervezetek védtelenek maradhatnak még abban az esetben is, ha kiemelt figyelmet fordítanak arra, hogy naprakészen tartsák a rendszereiket.
Extra költségek
Általában igaz az, hogy minél tovább várunk egy probléma orvoslásával, annál több nehézséggel és költséggel jár a megoldása. Ez az élet számos területén jellemző, és nincs ez másképp az alkalmazások biztonsága kapcsán sem. Minél később kerül sor egy biztonsági rés befoltozására a fejlesztési ciklus során, annál többe kerül a folyamat.
Értelemszerűen akkor a legegyszerűbb és legolcsóbb a biztonsági hibák korrigálása, ha a kockázatok csökkentésére már a követelmények és az architektúra kialakításakor sor kerül.
Ismétlődő hibák
A fejlesztőknél is előfordulhat, hogy ugyanazokat a hibákat követik el újra és újra. A Micro Focus tapasztalatai szerint tipikusan ilyenek a bemeneti adatok, paraméterek ellenőrzésével kapcsolatos hiányosságok. Ezek pedig lehetőséget biztosíthatnak a támadók számára rosszindulatú kódokkal történő visszaélésekre.
Az Application Security Research nevű kutatás során a szakemberek 2015-ben a vizsgált alkalmazások 52 százalékában észleltek input validation típusú sebezhetőségeket. 2016-ban ez a szám 44 százalékra csökkent, majd 2017-ben újra visszaugrott 50 százalékra.
Előbb a fejlesztés, aztán a biztonság
Ha a biztonsági tesztelés nem része a DevOps folyamatoknak, akkor a hibák csak később derülnek ki, így azok javításáról később tudnak gondoskodni a szakemberek. A Micro Focus felmérése azt mutatta ki, hogy ezen a területen szerencsére javulás érzékelhető. Egyre több vállalatnál végeznek ugyanis automatizált biztonsági ellenőrzéseket a fejlesztés során.
A Micro Focus szakértői azt javasolják a vállalatok számára, hogy vértezzék fel fejlesztőiket a megfelelő eszközökkel, amelyek segítségével gyorsan és egyszerűen megtalálhatják, valamint javíthatják a hibákat.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.