Raport AppSec Stats Flash – średni czas naprawy krytycznych luk w aplikacjach to 205 dni

25 czerwca 202125 czerwca 2021 Maciej Lewczuk AppSec Stats Flash, Colonial Pipeline, cyberatak, cyberbezpieczeństwo, cyberochrona, cyberprzestępcy, hakerzy, JBS USA, luki bezpieczeństwa, luki i łaty, Luki w zabezpieczeniach, ransomware, SolarWinds, WhiteHat Security, włamanie

Z raportu AppSec Stats Flash firmy WhiteHat Security wynika, że niemal 3 na 4 aplikacje wykorzystywane w sektorze użyteczności publicznej miały przynajmniej jedną lukę. Dodatkowo niepokojący jest fakt, że średni czas naprawienia krytycznej luki wynosiła 205 dni!

Raport AppSec Stats Flash firmy WhiteHat Security

W ciągu ostatnich 6 miesięcy WhiteHat śledził niektóre kluczowe statystyki dotyczące bezpieczeństwa aplikacji. Sprawdzano także szybką ewolucję zagrożeń z tym związanych. Wszystko to pozwoliło firmie opracować dane w taki sposób, aby przedstawić w przystępny sposób zdobyte dane statystyczne.

W czasie gromadzenia i opracowywania potwierdziło się to, co wynikało z raportu. Pojawiły się informacje o skutecznych atakach na SolarWinds, a także ataki ransomware na JBS USA i Colonial Pipeline. Na ich przykładzie można wysnuć wnioski, że temat cyberbezpieczeństwa w firmie pojawia się, jako jeden z ważniejszych aspektów pracy przedsiębiorstwa, dopiero po incydencie.

W związku z dynamiką działań związanych z cyberbezpieczeństwem, raporty WhiteHat Security będą pojawiały się co miesiąc.

Wyniki raportu

Analitycy WhiteHat Security stwierdzili, że statystyki wskazują na największe problemy z lukami w aplikacjach sektora usług użyteczności publicznej. Miały one najdłuższy okres, w którym luki nie były naprawione. Przykładem może być ujawnienie w mediach publicznych USA faktu, że ponad 50 tys. stacji uzdatniania wody w USA było niezwykle słabo zabezpieczonych.

Co więcej, raport wskazuje, że ponad 66 proc. wszystkich aplikacji wykorzystywanych przez firmy związane z użytecznością publiczną miało co najmniej jedną lukę, która była niezałatana przez niemal rok. Podobnie było w około 60 proc. aplikacji branży produkcyjnej.

Znikoma liczba luk w aplikacjach łatana była w czasie krótszym niż 30 dni. Większość z ujawnionych luk można łatwo odkryć i nie trzeba do tego supertajnej wiedzy, czy niezwykłych umiejętności hakerskich.

Wnioski z raportu są konkretne. Słabe zainteresowanie poprawą cyberbezpieczeństwa naraża nie tylko przedsiębiorstwa i instytucje, ale także ich klientów i użytkowników. Mogą to być nawet miliony ludzi. Ważne jet także to, aby za cyberbezpieczeństwo w firmie nie odpowiadali tylko pracownicy IT. Warto rozłożyć to na wszystkich związanych z powstawaniem, rozwijaniem i obsługą oprogramowania w firmie. Szkolenia dla całej kadry w firmie jest niezwykle ważne i nie może odbywać się na zasadzie zła koniecznego.

Ważne jest także to, aby nie przedstawiać ludziom wszelkich możliwych problemów, które mogą wystąpić, a skupić się na kilku najczęściej nękających podobne firmy i dokładnie omówić je z załogą. Szkolenia powinny też odbywać się cyklicznie i dotykać za każdym razem innych, nowych tematów związanych z cyberbezpieczeństwem.

Źródło: WhiteHat Security

Maciej Lewczuk

Entuzjasta technologii IT, mobile, wearables. Freelancer, od lat w branży mediów IT/Mobile (CD-Action, NeXT, PC Format, CafePC.pl, Benchmark.pl, Mobility, Komputer Świat, Bezprawnik, Startupmag, IoTLab.pl) , były PRowiec (Sweex i Hannspree) i logistyk. Pasjonat jedzenia, gotowania, zdrowego odżywiania, wędrówek, jazdy na rowerze, książek, kina, opery, teatru i wielu innych.