Raport AppSec Stats Flash – średni czas naprawy krytycznych luk w aplikacjach to 205 dni
Z raportu AppSec Stats Flash firmy WhiteHat Security wynika, że niemal 3 na 4 aplikacje wykorzystywane w sektorze użyteczności publicznej miały przynajmniej jedną lukę. Dodatkowo niepokojący jest fakt, że średni czas naprawienia krytycznej luki wynosiła 205 dni!
Raport AppSec Stats Flash firmy WhiteHat Security
W ciągu ostatnich 6 miesięcy WhiteHat śledził niektóre kluczowe statystyki dotyczące bezpieczeństwa aplikacji. Sprawdzano także szybką ewolucję zagrożeń z tym związanych. Wszystko to pozwoliło firmie opracować dane w taki sposób, aby przedstawić w przystępny sposób zdobyte dane statystyczne.
W czasie gromadzenia i opracowywania potwierdziło się to, co wynikało z raportu. Pojawiły się informacje o skutecznych atakach na SolarWinds, a także ataki ransomware na JBS USA i Colonial Pipeline. Na ich przykładzie można wysnuć wnioski, że temat cyberbezpieczeństwa w firmie pojawia się, jako jeden z ważniejszych aspektów pracy przedsiębiorstwa, dopiero po incydencie.
W związku z dynamiką działań związanych z cyberbezpieczeństwem, raporty WhiteHat Security będą pojawiały się co miesiąc.
Wyniki raportu
Analitycy WhiteHat Security stwierdzili, że statystyki wskazują na największe problemy z lukami w aplikacjach sektora usług użyteczności publicznej. Miały one najdłuższy okres, w którym luki nie były naprawione. Przykładem może być ujawnienie w mediach publicznych USA faktu, że ponad 50 tys. stacji uzdatniania wody w USA było niezwykle słabo zabezpieczonych.
Co więcej, raport wskazuje, że ponad 66 proc. wszystkich aplikacji wykorzystywanych przez firmy związane z użytecznością publiczną miało co najmniej jedną lukę, która była niezałatana przez niemal rok. Podobnie było w około 60 proc. aplikacji branży produkcyjnej.
Znikoma liczba luk w aplikacjach łatana była w czasie krótszym niż 30 dni. Większość z ujawnionych luk można łatwo odkryć i nie trzeba do tego supertajnej wiedzy, czy niezwykłych umiejętności hakerskich.
Wnioski z raportu są konkretne. Słabe zainteresowanie poprawą cyberbezpieczeństwa naraża nie tylko przedsiębiorstwa i instytucje, ale także ich klientów i użytkowników. Mogą to być nawet miliony ludzi. Ważne jet także to, aby za cyberbezpieczeństwo w firmie nie odpowiadali tylko pracownicy IT. Warto rozłożyć to na wszystkich związanych z powstawaniem, rozwijaniem i obsługą oprogramowania w firmie. Szkolenia dla całej kadry w firmie jest niezwykle ważne i nie może odbywać się na zasadzie zła koniecznego.
Ważne jest także to, aby nie przedstawiać ludziom wszelkich możliwych problemów, które mogą wystąpić, a skupić się na kilku najczęściej nękających podobne firmy i dokładnie omówić je z załogą. Szkolenia powinny też odbywać się cyklicznie i dotykać za każdym razem innych, nowych tematów związanych z cyberbezpieczeństwem.
Źródło: WhiteHat Security
Entuzjasta technologii IT, mobile, wearables. Freelancer, od lat w branży mediów IT/Mobile (CD-Action, NeXT, PC Format, CafePC.pl, Benchmark.pl, Mobility, Komputer Świat, Bezprawnik, Startupmag, IoTLab.pl) , były PRowiec (Sweex i Hannspree) i logistyk. Pasjonat jedzenia, gotowania, zdrowego odżywiania, wędrówek, jazdy na rowerze, książek, kina, opery, teatru i wielu innych.