Black Duck’a göre finans ve sigorta sektörleri en fazla sayıda kritik güvenlik açığına sahip sektörler olarak belirlendi.
Finans ve sigorta sektörü en büyük kırılganlıklarla karşı karşıya
Black Duck tarafından Haziran 2023’ten Haziran 2024’e kadar 19 sektördeki yaklaşık 1.300 uygulama üzerinde gerçekleştirilen 200.000’den fazla dinamik uygulama güvenliği testi (DAST) taramasından elde edilen verileri analiz eden rapor, güvenlik açığı türlerinde ve iyileştirme uygulamalarında farklılıklar buldu.
Belirlenen toplam 96.917 güvenlik açığından en kritik iki kategori, 30.000’den fazla örnekle kriptografik hatalar (bir uygulamanın hassas bilgileri nasıl koruduğuna ilişkin zayıflıklar) ve enjeksiyon güvenlik açıkları (kötü amaçlı kodun bir uygulamayı istenmeyen eylemler gerçekleştirmesi veya uygun olmadan verilere erişmesi için kandırması) idi. yetkilendirme), 4.800’den fazla örnekle.
Her ikisi de tüm sektörlerdeki verilere yönelik tehdit oluşturur ve potansiyel ihlaller, kişisel olarak tanımlanabilir bilgilerin (PII), finansal verilerin ve tıbbi kayıtların çalınmasına yol açarak ciddi mali kayıplara ve itibar kaybına yol açabilir.
Finans ve Sigorta sektörü (FSI), küçük FSI siteleri için belirlenen 565, orta ölçekli siteler için 580 ve büyük siteler için 154 kritik güvenlik açığıyla tüm site karmaşıklıklarında en yüksek sayıda kritik güvenlik açığına sahipti. Bir sonraki en yüksek sektör ise küçük, orta ve büyük siteler için sırasıyla 367, 486 ve 139 kritik güvenlik açığıyla Sağlık ve Sosyal Yardım sektörü oldu.
Ayrıca raporda, iyileştirme yaklaşımları için herkese uygun tek bir zaman çizelgesinin bulunmadığı da tespit edildi. Aslında, sektörler arasında ortalama iyileştirme süresi (MTTR) söz konusu olduğunda, finans ve sigortayı daha hızlı hareket etmeye zorlayan sıkı düzenlemeler (daha küçük/düşük karmaşıklıktaki web varlıkları için 28 gün) nedeniyle, Kamu Hizmetleri sektörüyle karşılaştırıldığında farklılıklar bulunmaktadır. kapanış için en uzun süre (daha küçük/düşük karmaşıklıktaki web varlıkları için 107 gün). Bunun nedeni büyük olasılıkla sektörün yamalanması ve güncellenmesi zor olan eski sistemler üzerinde çalışmasıdır.
Operasyonel kesintiler büyük bir iş riski oluşturur
Operasyonel aksaklıklar, sektör ne olursa olsun büyük bir iş riski oluşturur. Araştırma, yaygın güvenlik yanlış yapılandırmalarının (etkilenen uygulamaların %98’i) iş sürekliliğini ve hizmet kullanılabilirliğini tehdit ettiğini ortaya çıkardı.
Hassas verilerin açığa çıkması ve enjeksiyon güvenlik açıkları, tüm sektörlerdeki hassas verilere yönelik tehditler oluşturarak potansiyel olarak veri sızıntılarına, para cezalarına, mali kayıplara ve itibar kaybına yol açabilir. Risk altındaki hassas veriler arasında Sosyal Güvenlik numaraları, banka bilgileri, oturum açma bilgileri, kredi kartı numaraları, tıbbi kayıtlar ve ticari sırlar gibi kişisel olarak tanımlanabilir bilgiler yer alır.
Eğitim hizmetleri sektöründe, öğrenci bilgi sistemindeki giderilmeyen bir güvenlik açığı, kişisel bilgiler, akademik kayıtlar ve mali ayrıntılar da dahil olmak üzere hassas öğrenci verilerinin açığa çıkmasına neden olabilir. Böyle bir ihlal, kimlik hırsızlığına, akademik sahtekarlığa ve FERPA gibi gizlilik yasalarının ihlaline yol açarak hukuki sonuçlara ve kuruma olan güvenin kaybolmasına neden olabilir.
Black Duck CEO’su Jason Schmitt, “Geçen yıl bulunan çok sayıda güvenlik açığı, işletmelerin yeni güvenlik önlemlerini uygulamaya koyarken durgun kalamayacağına dair açık bir uyandırma çağrısıdır” dedi. “Bir kuruluşun bir güvenlik açığını düzeltmesi ne kadar uzun sürerse, istismar olasılığı da o kadar büyük olur. Yazılım riski, iş riskiyle eşdeğerdir ve günümüzün kötü niyetli aktörlerinin her zamankinden daha karmaşık olması nedeniyle, her sektördeki işletmelerin kapsamlı ve entegre bir yaklaşım uygulayarak yazılımlarına güven oluşturması giderek daha önemli hale geliyor.”