Kaspersky: Εντοπίζει τις πιο επικίνδυνες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές
Μια πρόσφατη μελέτη των ειδικών του Kaspersky Security Assessment εντόπισε τις πιο επικίνδυνες και διαδεδομένες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές που αναπτύσσονται in-house. Tην περίοδο μεταξύ 2021 και 2023 εντοπίστηκαν ελαττώματα που αφορούν τον έλεγχο πρόσβασης και την προστασία
Οι διαδικτυακές εφαρμογές, όπως τα κοινωνικά δίκτυα, το email και οι διαδικτυακές υπηρεσίες, είναι στην ουσία ιστοσελίδες στις οποίες οι χρήστες επικοινωνούν με έναν web server μέσω ενός browser. Στην τελευταία της μελέτη, η Kaspersky διερεύνησε ευπάθειες σε διαδικτυακές εφαρμογές που χρησιμοποιούνται από IT, κυβερνητικούς, ασφαλιστικούς και τηλεπικοινωνιακούς οργανισμούς, αλλά και οργανισμούς κρυπτονομισμάτων, ηλεκτρονικού εμπορίου και υγειονομικής περίθαλψης για να εντοπίσει τους πιο διαδεδομένους τύπους επιθέσεων που είναι πιθανό να συμβούν στις επιχειρήσεις[1].
Οι επικρατέστεροι τύποι ευπαθειών αφορούσαν την πιθανότητα κακόβουλης χρήσης ελαττωματικών ελέγχων πρόσβασης και αδυναμίες στην προστασία ευαίσθητων δεδομένων. Μεταξύ 2021 και 2023, το 70% των διαδικτυακών εφαρμογών που εξετάστηκαν στην παρούσα μελέτη παρουσίαζαν ευπάθειες σε αυτές τις κατηγορίες.
H ευπάθεια ενός παραβιασμένου ελέγχου πρόσβασης μπορεί να χρησιμοποιηθεί όταν οι εισβολείς προσπαθούν να παρακάμψουν τις πολιτικές ιστότοπου που περιορίζουν τους χρήστες στα εξουσιοδοτημένα δικαιώματά τους. Αυτό μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση, στην αλλοίωση ή τη διαγραφή δεδομένων και όχι μόνο. Ο δεύτερος κοινός τύπος ελαττώματος αφορά την έκθεση ευαίσθητων πληροφοριών, όπως κωδικοί πρόσβασης, στοιχεία πιστωτικών καρτών, αρχεία υγείας, προσωπικά δεδομένα και εμπιστευτικές επιχειρηματικές πληροφορίες, γεγονός που υπογραμμίζει την ανάγκη για αυξημένα μέτρα ασφαλείας.
«Η αξιολόγηση διαμορφώθηκε λαμβάνοντας υπόψη τις πιο συνηθισμένες ευπάθειες σε διαδικτυακές εφαρμογές που αναπτύσσονται εσωτερικά σε διάφορες εταιρείες, καθώς και το επίπεδο κινδύνου τους. Για παράδειγμα, μια ευπάθεια θα μπορούσε να επιτρέψει στους επιτιθέμενους να κλέψουν τα δεδομένα ελέγχου ταυτότητας των χρηστών, ενώ μια άλλη θα μπορούσε να βοηθήσει στην εφαρμογή κακόβουλου κώδικα στον server, με διαφορετικό βαθμό συνεπειών για την επιχειρησιακή βιωσιμότητα και ανθεκτικότητα. Οι κατατάξεις μας αντικατοπτρίζουν αυτή την εκτίμηση, αντλώντας από την πρακτική μας εμπειρία στη διεξαγωγή έργων ανάλυσης ασφάλειας», εξηγεί η Oxana Andreeva, security expert στην ομάδα Kaspersky Security Assessment.
Type of vulnerability
The share of web applications that contain it
Share of high-risk vulnerabilities
Share of medium-risk vulnerabilities
Share of low-risk vulnerabilities
Broken Access Control
70%
37%
49%
14%
Sensitive Data Exposure
70%
9%
28%
63%
Server-Side Request Forgery (SSRF)
57%
15%
66%
19%
SQL Injection
43%
88%
12%
-
Cross Site Scripting (XSS)
61%
11%
78%
11%
Broken Authentication
52%
21%
47%
32%
Security Misconfiguration
43%
15%
41%
44%
Insufficient Protection from Brute Force Attacks
39%
11%
39%
50%
Weak User Password
22%
78%
22%
-
Using Components with Known Vulnerabilities
13%
43%
43%
14%
Οι ειδικοί της Kaspersky εξέτασαν επίσης πόσο επικίνδυνες ήταν οι ευπάθειες στις παραπάνω ομάδες. Το μεγαλύτερο ποσοστό των ευπαθειών που εγκυμονούσαν υψηλό κίνδυνο σχετιζόταν με SQL injections. Συγκεκριμένα, το 88% όλων των ευπαθειών SQL Injection που εξετάστηκαν χαρακτηρίστηκαν ως υψηλού κινδύνου.
Ένα άλλο σημαντικό ποσοστό των ευπαθειών υψηλού κινδύνου βρέθηκε να συνδέεται με αδύναμους κωδικούς πρόσβασης των χρηστών. Σε αυτή την κατηγορία, το 78% όλων των ευπαθειών που αναλύθηκαν χαρακτηρίστηκαν ως υψηλού κινδύνου.
Είναι σημαντικό να σημειωθεί ότι μόνο το 22% όλων των διαδικτυακών εφαρμογών που μελέτησε η ομάδα Kaspersky Security Assessment είχαν αδύναμους κωδικούς πρόσβασης. Ένας πιθανός λόγος είναι ότι οι εφαρμογές που συμπεριλήφθηκαν στο δείγμα της μελέτης μπορεί να ήταν δοκιμαστικές εκδόσεις και όχι πραγματικά λειτουργικά συστήματα.
Για να ενημερωθείτε διεξοδικότερα για τη μελέτη, επισκεφθείτε το Securelist. Οι κατηγορίες ευπάθειας που περιγράφονται στην έρευνα αντιστοιχούν στις κατηγορίες και τις υποκατηγορίες της αξιολόγησης OWASP Top Ten. Η αποκατάσταση των πιο διαδεδομένων ευπαθειών σε διαδικτυακές εφαρμογές που περιγράφονται στη μελέτη θα βοηθήσει τις εταιρείες να προστατεύσουν εμπιστευτικά δεδομένα και να αποφύγουν την παραβίαση διαδικτυακών εφαρμογών και συναφών συστημάτων. Για τη βελτίωση της ασφάλειας των διαδικτυακών εφαρμογών και τον έγκαιρο εντοπισμό πιθανών επιθέσεων σε αυτές, η ομάδα Kaspersky Security Assessment συνιστά:
χρήση του Secure Software Development Lifecycle (SSDLC), τακτική αξιολόγηση της ασφάλειας των εφαρμογών, χρήση μηχανισμών σύνδεσης και καταγραφής για την παρακολούθηση της λειτουργίας των εφαρμογών.
[1] Οι διαδικτυακές εφαρμογές Ιστού που αναλύθηκαν σε αυτή τη μελέτη αναπτύχθηκαν από εταιρείες-ιδιοκτήτες αυτών των εφαρμογών
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Οικονομία
- Πέθανε η Λαβίνια Σταθάκη
- Πώς θα μοιραστούν οι έδρες των Σπαρτιατών μετά την απόφαση του Αρείου Πάγου
- Κ. Χατζηδάκης: «Δεν ξοδεύουμε τα περισσεύματα, τα κρατάμε για τις δύσκολες περιόδους»
- ΥΠΟΙΚ: "Ασπίδα" απέναντι στον πληθωρισμό η αύξηση μισθών και οι νέες θέσεις εργασίες
- Συμμετοχή ΠΝΟ στην απεργία της ΓΣΕΕ: Πότε θα παραμείνουν δεμένα τα πλοία
- Κυβέρνηση: Γεν. Γραμματέας Νομικών και Κοινοβουλευτικών Θεμάτων αναλαμβάνει η Χριστίνα Τσάκωνα – Το βιογραφικό της
- ΟΠΑΠ Forward: Οι προκλήσεις και οι ευκαιρίες στην ελληνική και παγκόσμια επιχειρηματική σκηνή - Fireside chat Μάρκου Βερέμη και Κώστα Μάλλιου
- Kering: Βγάζει από τα ταμεία του 1,3 δισ. ευρώ για ακίνητο του 18ου αιώνα στο Μιλάνο
- Βενετία: Ξεκινά το «εισιτήριο εισόδου» στην πόλη
- Δεμένα τα πλοία στα λιμάνια την Τετάρτη 17 Απριλίου - Απεργία από την ΠΝΟ
- Δημοφιλέστερες Ειδήσεις Businessnews
- ΥΠΟΙΚ: "Ασπίδα" απέναντι στον πληθωρισμό η αύξηση μισθών και οι νέες θέσεις εργασίες
- Υπερψηφίστηκε Σχέδιο Νόμου του Υπουργείου Ψηφιακής Διακυβέρνησης
- Ι.Ο.ΑΣ. «Πάνος Μυλωνάς»: Με μεγάλη απήχηση ολοκληρώθηκε η 17η Πανελλαδική Εβδομάδα Οδικής Ασφάλειας
- Θεσσαλονίκη: Έφοδος Αστυνομίας και δικαστικών λειτουργών σε οικίες απλών χρηστών «πειρατικών» συνδρομητικών καναλιών
- Kaspersky: Εντοπίζει τις πιο επικίνδυνες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές
- KPMG: Νέα Senior Partner η Μαρίνα Καπετανάκη
- G4S: Χρυσός χορηγός στο 11ο Συνέδριο Security Project 2024
- Συνεχίζεται η μεγάλη αύξηση των αιτήσεων στον εξωδικαστικό μηχανισμό
- Πρόστιμα συνολικού ύψους 1.380.000 ευρώ για αθέμιτη κερδοφορία
- Septona: Platinum διάκριση από την πρωτοβουλία ΕΛΛΑ-ΔΙΚΑ ΜΑΣ
- Τελευταία Νέα Businessnews
- Kaspersky: Εντοπίζει τις πιο επικίνδυνες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές
- Ι.Ο.ΑΣ. «Πάνος Μυλωνάς»: Με μεγάλη απήχηση ολοκληρώθηκε η 17η Πανελλαδική Εβδομάδα Οδικής Ασφάλειας
- Θεσσαλονίκη: Έφοδος Αστυνομίας και δικαστικών λειτουργών σε οικίες απλών χρηστών «πειρατικών» συνδρομητικών καναλιών
- Διεγράφη ο Μανώλης Σφακιανάκης από τον Νίκο Χαρδαλιά
- ΥΠΟΙΚ: "Ασπίδα" απέναντι στον πληθωρισμό η αύξηση μισθών και οι νέες θέσεις εργασίες
- Συνεχίζεται η μεγάλη αύξηση των αιτήσεων στον εξωδικαστικό μηχανισμό
- G4S: Χρυσός χορηγός στο 11ο Συνέδριο Security Project 2024
- KPMG: Νέα Senior Partner η Μαρίνα Καπετανάκη
- Πρόστιμα συνολικού ύψους 1.380.000 ευρώ για αθέμιτη κερδοφορία
- Υπερψηφίστηκε Σχέδιο Νόμου του Υπουργείου Ψηφιακής Διακυβέρνησης
- Τελευταία Νέα Κατηγορίας Οικονομία
- Septona: Platinum διάκριση από την πρωτοβουλία ΕΛΛΑ-ΔΙΚΑ ΜΑΣ
- Μπλίνκεν: Η Ουκρανία θα ενταχθεί εν τέλει στο ΝΑΤΟ
- Δ. Κουτσούμπας απο παρακάρλια χωριά: Απαιτείται κεντρικό και ολοκληρωμένο σχέδιο για την ανασυγκρότηση της περιοχής
- 60 εκατ. ευρώ στο πρόγραμμα «Κομφούζιο» - Προστίθενται νέες καλλιέργειες και εντομολογικοί στόχοι
- Αίγινα: Έλληνο-Ελβετική ανασκαφή στην κορυφή του Ελλανίου Όρους
- Οι κερασιές ανθίζουν και η Ιαπωνία υποδέχεται την άνοιξη (εικόνες)
- Μανώλης Σφακιανάκης: Το πρώτο του μήνυμα μετά τη διαγραφή του από τον Χαρδαλιά
- ΚΕΕΕ: Ανάγκη για άμεση μείωση των προμηθειών από τις τράπεζες
- Χρηματιστήριο: Προς 7η διαδοχική πτώση οι τράπεζες – Διόρθωση 5,5%
- Συνάντηση Βρούτση με τον πρόεδρο του WADA
