مهارت‌های سایبری ضعیف، نقاط کور توسعه‌دهنده پشت خرابی‌های AppSec سازمان‌ها


سازمان‌های دولتی و مؤسسات آموزشی، به‌ویژه، به‌طور فزاینده‌ای در تیررس هکرها قرار می‌گیرند، زیرا آسیب‌پذیری‌های وب شدید به سمت بالا می‌روند.

اجرای کد از راه دور (RCE)، اسکریپت بین سایتی (XSS) و تزریق SQL (SQLi) همگی از متخلفان اصلی نرم افزار هستند. هر سه سال به سال افزایش می یابند یا در اطراف همان اعداد هشدار دهنده هستند.

RCE، که اغلب هدف نهایی یک مهاجم مخرب است، علت اصلی خرابکاری فناوری اطلاعات در پی بهره برداری Log4Shell بود. این آسیب پذیری از سال 2018 شاهد افزایش مداوم بوده است.

شرکت امنیتی سازمانی Invicti ماه گذشته گزارش AppSec Indicator بهار 2022 خود را منتشر کرد که آسیب پذیری های وب را از بیش از 939 مشتری خود در سراسر جهان نشان می داد. این یافته ها از تجزیه و تحلیل بزرگترین مجموعه داده از پلتفرم Invicti AppSec – با بیش از 23 میلیارد اسکن برنامه مشتری و 282,000 آسیب پذیری با تأثیر مستقیم کشف شده است.

تحقیقات Invicti نشان می دهد که یک سوم موسسات آموزشی و سازمان های دولتی حداقل یک مورد از SQLi را در سال گذشته تجربه کرده اند. داده‌های 23.6 میلیارد بررسی امنیتی بر نیاز مبرم به یک رویکرد امنیتی جامع برنامه تاکید می‌کند، زیرا دولت و سازمان‌های آموزشی هنوز در معرض خطر تزریق SQL در سال جاری هستند.

داده‌ها نشان می‌دهند که آسیب‌پذیری‌های رایج و شناخته‌شده متعددی در برنامه‌های کاربردی وب در حال گسترش هستند. همچنین نشان می‌دهد که حضور مستمر این آسیب‌پذیری‌ها یک خطر جدی برای سازمان‌ها در هر صنعتی است.

به گفته مارک رالز، رئیس و مدیر اجرایی Invicti، حتی آسیب‌پذیری‌های شناخته شده هنوز در برنامه‌های کاربردی وب رایج هستند. سازمان‌ها باید کنترل وضعیت امنیتی خود را به دست آورند تا اطمینان حاصل کنند که امنیت بخشی از DNA فرهنگ، فرآیندها و ابزار یک سازمان است تا نوآوری و امنیت با هم کار کنند.

رالز به TechNewsWorld گفت: «ما دیدیم که آسیب‌پذیری‌های شدید وب همچنان به شکوفایی خود ادامه می‌دهند، یا در چهار سال گذشته ثابت مانده‌اند یا فراوانی آن افزایش یافته است.

خوراکی های کلیدی

رالز خاطرنشان کرد که تشدید بی رویه حوادث تزریق SQL که در بین سازمان های دولتی و آموزشی یافت شد، شگفت انگیزترین جنبه تحقیق بود.

SQLi بسیار آزاردهنده است، که در طول چهار سال گذشته پنج درصد افزایش یافته است. این نوع آسیب‌پذیری وب به عوامل مخرب اجازه می‌دهد تا درخواست‌هایی را که یک برنامه به پایگاه داده خود ارسال می‌کند، تغییر داده یا جایگزین کنند. این امر به ویژه برای سازمان های بخش عمومی نگران کننده است، که اغلب داده ها و اطلاعات شخصی بسیار حساس را ذخیره می کنند.

RCE ها جواهری برای هر مهاجم سایبری و بردار رویداد Log4Shell سال گذشته هستند. همچنین از سال 2018، پنج درصد افزایش یافته است. XSS شاهد افزایش شش درصدی فرکانس بود.

رالز گفت: «این روندها در سراسر یافته‌های گزارش منعکس شد و وضعیت نگران‌کننده‌ای را برای امنیت سایبری نشان داد.

شکاف مهارت ها، کمبود استعداد درگیر

شگفتی بزرگ دیگر برای محققان افزایش تعداد آسیب پذیری های گزارش شده از سوی سازمان هایی است که دارایی های آنها را اسکن می کنند. دلایل متعددی می تواند علت باشد. اما فقدان نرم افزاری که در زمینه امنیت سایبری آموزش دیده باشد، یکی از مقصران اصلی آن است.

توسعه دهندگان، به ویژه، ممکن است در وهله اول به آموزش بیشتری برای اجتناب از این خطاها نیاز داشته باشند. ما دیده‌ایم که آسیب‌پذیری‌ها حتی در مراحل اولیه توسعه هنگام اسکن کشف نمی‌شوند.» رالز توضیح داد.

وقتی توسعه دهندگان آسیب پذیری ها را برطرف نمی کنند، در نهایت سازمان خود را در معرض خطر قرار می دهند. او افزود که ابزارهای اتوماسیون و یکپارچه سازی موجود می توانند به توسعه دهندگان کمک کنند تا این آسیب پذیری ها را سریعتر برطرف کنند و هزینه های احتمالی را برای سازمان کاهش دهند.

به تنهایی اپلیکیشن های وب را سرزنش نکنید

برنامه های وب به خودی خود از امنیت کمتری برخوردار نیستند. بیشتر به این موضوع مربوط می شود که توسعه دهندگان خسته، کار زیاد و اغلب تجربه کافی ندارند.

اغلب، سازمان ها توسعه دهندگانی را استخدام می کنند که فاقد پیشینه و آموزش لازم در زمینه امنیت سایبری هستند. به گفته رالز، با ادامه فشار به سمت تحول دیجیتال، کسب‌وکارها و سازمان‌ها در حال دیجیتالی کردن و توسعه اپلیکیشن‌ها برای جنبه‌های بیشتری از عملیات خود هستند.

او گفت: «به‌علاوه، تعداد برنامه‌های وب جدیدی که هر روز وارد بازار می‌شوند به این معنی است که هر برنامه اضافی یک آسیب‌پذیری بالقوه است». به عنوان مثال، اگر یک شرکت ده برنامه کاربردی داشته باشد، احتمال کمتری دارد که یک SQLi داشته باشد تا زمانی که یک شرکت دارای 1000 برنامه باشد.

اعمال درمان

تیم‌های تجاری – چه در حال توسعه و چه با استفاده از نرم‌افزار – به الگوی مناسب و فناوری‌های مناسب نیاز دارند. این شامل اولویت‌بندی مدل‌های طراحی ایمن است که همه پایه‌ها را پوشش می‌دهند و امنیت پخت را در فرآیندهای پیش‌کد پشت معماری برنامه‌ها پوشش می‌دهند.

رالز توصیه کرد: “سیلوهای بین تیم ها را خراب کنید.” “به خصوص بین امنیت و توسعه – و اطمینان حاصل کنید که هنجارها و استانداردهای سازمانی وجود دارند و به طور جهانی مورد حمایت قرار می گیرند.”

رالز با توجه به سرمایه گذاری در ابزارهای AppSec برای جلوگیری از موج فزاینده نرم افزارهای معیوب، استفاده از ابزارهای قوی را توصیه کرد که:

  • تا حد امکان خودکار کنید؛
  • ادغام یکپارچه در جریان کار موجود؛
  • ارائه تجزیه و تحلیل و گزارش برای نشان دادن اثبات موفقیت و جایی که به کار بیشتری نیاز است.

اهمیت دقت را نادیده نگیرید. ابزارهایی با نرخ مثبت کاذب پایین و راهنمایی روشن و قابل اجرا برای توسعه دهندگان ضروری است. در غیر این صورت، زمان را تلف می‌کنید، تیم شما از فناوری استقبال نمی‌کند و وضعیت امنیتی شما نیز بهتر از این نخواهد بود.»

نقاط کور تا حدی در بازی

رالز افزود، نقض‌های مهم و آسیب‌پذیری‌های خطرناک همچنان نقاط کور سازمان‌ها را آشکار می‌کنند. برای اثبات، به اثرات گردباد Log4Shell نگاه کنید.

کسب‌وکارها در سرتاسر جهان تلاش کردند تا بررسی کنند که آیا در کتابخانه پرکاربرد Log4j در معرض حملات RCE هستند یا خیر. برخی از این خطرات در حالی که باید برای همیشه از بین بروند، در حال افزایش هستند. این به قطع ارتباط بین واقعیت ریسک و دستور استراتژیک برای نوآوری است.

رالز می‌گوید: «همیشه به راحتی نمی‌توان همه را با امنیت همراه کرد، به خصوص زمانی که به نظر می‌رسد امنیت افراد را در تکمیل پروژه بازمی‌دارد یا راه‌اندازی آن بسیار پرهزینه است.

تعداد فزاینده استراتژی‌های امنیت سایبری مؤثر و فناوری‌های اسکن می‌تواند تهدیدهای مداوم را کمتر تکرار کند و کاهش شکاف بین امنیت و نوآوری را آسان‌تر کند.


منبع: https://www.technewsworld.com/story/lax-cyber-skills-dev-blind-spots-behind-organizations-appsec-breakdowns-176795.html?rss=1