سازمانهای دولتی و مؤسسات آموزشی، بهویژه، بهطور فزایندهای در تیررس هکرها قرار میگیرند، زیرا آسیبپذیریهای وب شدید به سمت بالا میروند.
اجرای کد از راه دور (RCE)، اسکریپت بین سایتی (XSS) و تزریق SQL (SQLi) همگی از متخلفان اصلی نرم افزار هستند. هر سه سال به سال افزایش می یابند یا در اطراف همان اعداد هشدار دهنده هستند.
RCE، که اغلب هدف نهایی یک مهاجم مخرب است، علت اصلی خرابکاری فناوری اطلاعات در پی بهره برداری Log4Shell بود. این آسیب پذیری از سال 2018 شاهد افزایش مداوم بوده است.
شرکت امنیتی سازمانی Invicti ماه گذشته گزارش AppSec Indicator بهار 2022 خود را منتشر کرد که آسیب پذیری های وب را از بیش از 939 مشتری خود در سراسر جهان نشان می داد. این یافته ها از تجزیه و تحلیل بزرگترین مجموعه داده از پلتفرم Invicti AppSec – با بیش از 23 میلیارد اسکن برنامه مشتری و 282,000 آسیب پذیری با تأثیر مستقیم کشف شده است.
تحقیقات Invicti نشان می دهد که یک سوم موسسات آموزشی و سازمان های دولتی حداقل یک مورد از SQLi را در سال گذشته تجربه کرده اند. دادههای 23.6 میلیارد بررسی امنیتی بر نیاز مبرم به یک رویکرد امنیتی جامع برنامه تاکید میکند، زیرا دولت و سازمانهای آموزشی هنوز در معرض خطر تزریق SQL در سال جاری هستند.
دادهها نشان میدهند که آسیبپذیریهای رایج و شناختهشده متعددی در برنامههای کاربردی وب در حال گسترش هستند. همچنین نشان میدهد که حضور مستمر این آسیبپذیریها یک خطر جدی برای سازمانها در هر صنعتی است.
به گفته مارک رالز، رئیس و مدیر اجرایی Invicti، حتی آسیبپذیریهای شناخته شده هنوز در برنامههای کاربردی وب رایج هستند. سازمانها باید کنترل وضعیت امنیتی خود را به دست آورند تا اطمینان حاصل کنند که امنیت بخشی از DNA فرهنگ، فرآیندها و ابزار یک سازمان است تا نوآوری و امنیت با هم کار کنند.
رالز به TechNewsWorld گفت: «ما دیدیم که آسیبپذیریهای شدید وب همچنان به شکوفایی خود ادامه میدهند، یا در چهار سال گذشته ثابت ماندهاند یا فراوانی آن افزایش یافته است.
خوراکی های کلیدی
رالز خاطرنشان کرد که تشدید بی رویه حوادث تزریق SQL که در بین سازمان های دولتی و آموزشی یافت شد، شگفت انگیزترین جنبه تحقیق بود.
SQLi بسیار آزاردهنده است، که در طول چهار سال گذشته پنج درصد افزایش یافته است. این نوع آسیبپذیری وب به عوامل مخرب اجازه میدهد تا درخواستهایی را که یک برنامه به پایگاه داده خود ارسال میکند، تغییر داده یا جایگزین کنند. این امر به ویژه برای سازمان های بخش عمومی نگران کننده است، که اغلب داده ها و اطلاعات شخصی بسیار حساس را ذخیره می کنند.
RCE ها جواهری برای هر مهاجم سایبری و بردار رویداد Log4Shell سال گذشته هستند. همچنین از سال 2018، پنج درصد افزایش یافته است. XSS شاهد افزایش شش درصدی فرکانس بود.
رالز گفت: «این روندها در سراسر یافتههای گزارش منعکس شد و وضعیت نگرانکنندهای را برای امنیت سایبری نشان داد.
شکاف مهارت ها، کمبود استعداد درگیر
شگفتی بزرگ دیگر برای محققان افزایش تعداد آسیب پذیری های گزارش شده از سوی سازمان هایی است که دارایی های آنها را اسکن می کنند. دلایل متعددی می تواند علت باشد. اما فقدان نرم افزاری که در زمینه امنیت سایبری آموزش دیده باشد، یکی از مقصران اصلی آن است.
توسعه دهندگان، به ویژه، ممکن است در وهله اول به آموزش بیشتری برای اجتناب از این خطاها نیاز داشته باشند. ما دیدهایم که آسیبپذیریها حتی در مراحل اولیه توسعه هنگام اسکن کشف نمیشوند.» رالز توضیح داد.
وقتی توسعه دهندگان آسیب پذیری ها را برطرف نمی کنند، در نهایت سازمان خود را در معرض خطر قرار می دهند. او افزود که ابزارهای اتوماسیون و یکپارچه سازی موجود می توانند به توسعه دهندگان کمک کنند تا این آسیب پذیری ها را سریعتر برطرف کنند و هزینه های احتمالی را برای سازمان کاهش دهند.
به تنهایی اپلیکیشن های وب را سرزنش نکنید
برنامه های وب به خودی خود از امنیت کمتری برخوردار نیستند. بیشتر به این موضوع مربوط می شود که توسعه دهندگان خسته، کار زیاد و اغلب تجربه کافی ندارند.
اغلب، سازمان ها توسعه دهندگانی را استخدام می کنند که فاقد پیشینه و آموزش لازم در زمینه امنیت سایبری هستند. به گفته رالز، با ادامه فشار به سمت تحول دیجیتال، کسبوکارها و سازمانها در حال دیجیتالی کردن و توسعه اپلیکیشنها برای جنبههای بیشتری از عملیات خود هستند.
او گفت: «بهعلاوه، تعداد برنامههای وب جدیدی که هر روز وارد بازار میشوند به این معنی است که هر برنامه اضافی یک آسیبپذیری بالقوه است». به عنوان مثال، اگر یک شرکت ده برنامه کاربردی داشته باشد، احتمال کمتری دارد که یک SQLi داشته باشد تا زمانی که یک شرکت دارای 1000 برنامه باشد.
اعمال درمان
تیمهای تجاری – چه در حال توسعه و چه با استفاده از نرمافزار – به الگوی مناسب و فناوریهای مناسب نیاز دارند. این شامل اولویتبندی مدلهای طراحی ایمن است که همه پایهها را پوشش میدهند و امنیت پخت را در فرآیندهای پیشکد پشت معماری برنامهها پوشش میدهند.
رالز توصیه کرد: “سیلوهای بین تیم ها را خراب کنید.” “به خصوص بین امنیت و توسعه – و اطمینان حاصل کنید که هنجارها و استانداردهای سازمانی وجود دارند و به طور جهانی مورد حمایت قرار می گیرند.”
رالز با توجه به سرمایه گذاری در ابزارهای AppSec برای جلوگیری از موج فزاینده نرم افزارهای معیوب، استفاده از ابزارهای قوی را توصیه کرد که:
- تا حد امکان خودکار کنید؛
- ادغام یکپارچه در جریان کار موجود؛
- ارائه تجزیه و تحلیل و گزارش برای نشان دادن اثبات موفقیت و جایی که به کار بیشتری نیاز است.
اهمیت دقت را نادیده نگیرید. ابزارهایی با نرخ مثبت کاذب پایین و راهنمایی روشن و قابل اجرا برای توسعه دهندگان ضروری است. در غیر این صورت، زمان را تلف میکنید، تیم شما از فناوری استقبال نمیکند و وضعیت امنیتی شما نیز بهتر از این نخواهد بود.»
نقاط کور تا حدی در بازی
رالز افزود، نقضهای مهم و آسیبپذیریهای خطرناک همچنان نقاط کور سازمانها را آشکار میکنند. برای اثبات، به اثرات گردباد Log4Shell نگاه کنید.
کسبوکارها در سرتاسر جهان تلاش کردند تا بررسی کنند که آیا در کتابخانه پرکاربرد Log4j در معرض حملات RCE هستند یا خیر. برخی از این خطرات در حالی که باید برای همیشه از بین بروند، در حال افزایش هستند. این به قطع ارتباط بین واقعیت ریسک و دستور استراتژیک برای نوآوری است.
رالز میگوید: «همیشه به راحتی نمیتوان همه را با امنیت همراه کرد، به خصوص زمانی که به نظر میرسد امنیت افراد را در تکمیل پروژه بازمیدارد یا راهاندازی آن بسیار پرهزینه است.
تعداد فزاینده استراتژیهای امنیت سایبری مؤثر و فناوریهای اسکن میتواند تهدیدهای مداوم را کمتر تکرار کند و کاهش شکاف بین امنیت و نوآوری را آسانتر کند.
منبع: https://www.technewsworld.com/story/lax-cyber-skills-dev-blind-spots-behind-organizations-appsec-breakdowns-176795.html?rss=1