Ποιες είναι οι πιο επικίνδυνες ευπάθειες ασφαλείας σε εταιρικές διαδικτυακές εφαρμογές;
Τις πιο επικίνδυνες και διαδεδομένες ευπάθειες σε εταιρικές διαδικτυακές εφαρμογές που αναπτύσσονται in-house σε επιχειρήσεις, εντόπισε μια πρόσφατη μελέτη των ειδικών του Kaspersky Security Assessment.
Ειδικότερα, την περίοδο μεταξύ 2021 και 2023, εντοπίστηκαν ελαττώματα που αφορούν τον έλεγχο πρόσβασης και την προστασία των δεδομένων στην πλειονότητα των εξεταζόμενων εφαρμογών, που ανέρχονται συνολικά σε αρκετές δεκάδες.
Ο μεγαλύτερος αριθμός ευπαθειών
Οι διαδικτυακές εφαρμογές, όπως τα κοινωνικά δίκτυα, το email και οι διαδικτυακές υπηρεσίες, είναι στην ουσία ιστοσελίδες στις οποίες οι χρήστες επικοινωνούν με έναν web server μέσω ενός browser.
Στην τελευταία της μελέτη, η Kaspersky διερεύνησε ευπάθειες σε διαδικτυακές εφαρμογές που χρησιμοποιούνται από IT, κυβερνητικούς, ασφαλιστικούς και τηλεπικοινωνιακούς οργανισμούς, αλλά και οργανισμούς κρυπτονομισμάτων, ηλεκτρονικού εμπορίου και υγειονομικής περίθαλψης για να εντοπίσει τους πιο διαδεδομένους τύπους επιθέσεων που είναι πιθανό να συμβούν στις επιχειρήσεις.
Οι επικρατέστεροι τύποι ευπαθειών αφορούσαν την πιθανότητα κακόβουλης χρήσης ελαττωματικών ελέγχων πρόσβασης και αδυναμίες στην προστασία ευαίσθητων δεδομένων.
Μεταξύ 2021 και 2023, το 70% των διαδικτυακών εφαρμογών που εξετάστηκαν στην παρούσα μελέτη παρουσίαζαν ευπάθειες σε αυτές τις κατηγορίες.
H ευπάθεια ενός παραβιασμένου ελέγχου πρόσβασης μπορεί να χρησιμοποιηθεί όταν οι εισβολείς προσπαθούν να παρακάμψουν τις πολιτικές ιστότοπου που περιορίζουν τους χρήστες στα εξουσιοδοτημένα δικαιώματά τους.
Αυτό μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση, στην αλλοίωση ή τη διαγραφή δεδομένων και όχι μόνο.
Ο δεύτερος κοινός τύπος ελαττώματος αφορά την έκθεση ευαίσθητων πληροφοριών, όπως κωδικοί πρόσβασης, στοιχεία πιστωτικών καρτών, αρχεία υγείας, προσωπικά δεδομένα και εμπιστευτικές επιχειρηματικές πληροφορίες, γεγονός που υπογραμμίζει την ανάγκη για αυξημένα μέτρα ασφαλείας.
«Η αξιολόγηση διαμορφώθηκε λαμβάνοντας υπόψη τις πιο συνηθισμένες ευπάθειες σε διαδικτυακές εφαρμογές που αναπτύσσονται εσωτερικά σε διάφορες εταιρείες, καθώς και το επίπεδο κινδύνου τους.
Για παράδειγμα, μια ευπάθεια θα μπορούσε να επιτρέψει στους επιτιθέμενους να κλέψουν τα δεδομένα ελέγχου ταυτότητας των χρηστών, ενώ μια άλλη θα μπορούσε να βοηθήσει στην εφαρμογή κακόβουλου κώδικα στον server, με διαφορετικό βαθμό συνεπειών για την επιχειρησιακή βιωσιμότητα και ανθεκτικότητα.
Οι κατατάξεις μας αντικατοπτρίζουν αυτή την εκτίμηση, αντλώντας από την πρακτική μας εμπειρία στη διεξαγωγή έργων ανάλυσης ασφάλειας», εξηγεί η Oxana Andreeva, security expert στην ομάδα Kaspersky Security Assessment.
Οι ειδικοί της Kaspersky εξέτασαν επίσης πόσο επικίνδυνες ήταν οι ευπάθειες στις παραπάνω ομάδες. Το μεγαλύτερο ποσοστό των ευπαθειών που εγκυμονούσαν υψηλό κίνδυνο σχετιζόταν με SQL injections. Συγκεκριμένα, το 88% όλων των ευπαθειών SQL Injection που εξετάστηκαν χαρακτηρίστηκαν ως υψηλού κινδύνου.
Ένα άλλο σημαντικό ποσοστό των ευπαθειών υψηλού κινδύνου βρέθηκε να συνδέεται με αδύναμους κωδικούς πρόσβασης των χρηστών. Σε αυτή την κατηγορία, το 78% όλων των ευπαθειών που αναλύθηκαν χαρακτηρίστηκαν ως υψηλού κινδύνου.
Είναι σημαντικό να σημειωθεί ότι μόνο το 22% όλων των διαδικτυακών εφαρμογών που μελέτησε η ομάδα Kaspersky Security Assessment είχαν αδύναμους κωδικούς πρόσβασης. Ένας πιθανός λόγος είναι ότι οι εφαρμογές που συμπεριλήφθηκαν στο δείγμα της μελέτης μπορεί να ήταν δοκιμαστικές εκδόσεις και όχι πραγματικά λειτουργικά συστήματα.
Για να ενημερωθείτε διεξοδικότερα για τη μελέτη, επισκεφθείτε το Securelist. Οι κατηγορίες ευπάθειας που περιγράφονται στην έρευνα αντιστοιχούν στις κατηγορίες και τις υποκατηγορίες της αξιολόγησης OWASP Top Ten.
Η αποκατάσταση των πιο διαδεδομένων ευπαθειών σε διαδικτυακές εφαρμογές που περιγράφονται στη μελέτη θα βοηθήσει τις εταιρείες να προστατεύσουν εμπιστευτικά δεδομένα και να αποφύγουν την παραβίαση διαδικτυακών εφαρμογών και συναφών συστημάτων.
Για τη βελτίωση της ασφάλειας των διαδικτυακών εφαρμογών και τον έγκαιρο εντοπισμό πιθανών επιθέσεων σε αυτές, η ομάδα Kaspersky Security Assessment συνιστά:
χρήση του Secure Software Development Lifecycle (SSDLC),τακτική αξιολόγηση της ασφάλειας των εφαρμογών,χρήση μηχανισμών σύνδεσης και καταγραφής για την παρακολούθηση της λειτουργίας των εφαρμογών.Διαβάστε επίσης:
Κυβερνοασφάλεια: Χιλιάδες ευρώ επενδύουν οι εταιρείες ετησίως για εκπαίδευση – Πού «σκοντάφτουν»
Ozempic: Η νέα τάση μπαίνει στο στόχαστρο των κυβερνοεγκληματιών, προειδοποιεί η Kaspersky
Έρευνα Kaspersky: 3 στους 4 εργαζόμενους δε θέλουν να επιστρέψουν στα προ πανδημίας εργασιακά πρότυπα
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Οικονομία
- Πειθαρχική δίωξη στον Κούγια
- Αλέξανδρος Εξάρχου: Η Ρουμανία αποτελεί ύψιστη προτεραιότητα για την Άκτωρ
- Π. Μαρινάκης για γυναικοκτονία στους Αγ. Αναργύρους: Η τραγική κατάληξη υποδηλώνει ότι έπρεπε να είχαν γίνει πολλά περισσότερα
- Η «βαριά σκιά» της Fed στην ΕΚΤ μετά την πρώτη μείωση επιτοκίων
- Απάτη 600 εκατ. με κονδύλια NextGenerationEU αποκάλυψε η Ευρ. Εισαγγελία
- ΚΕΕΕ: Ανάγκη για άμεση μείωση των προμηθειών από τις τράπεζες
- Στη ΒΙΠΕ Σίνδου το πρώτο επιχειρηματικό πάρκο για αδέσποτα ζώα
- Κουβέιτ: Στις κάλπες για πρώτη φορά υπό τον νέο εμίρη
- Άγιοι Ανάργυροι: Στην ανακρίτρια ο 39χρονος δράστης – Τι θα υποστηρίξει
- Οι αμφιλεγόμενες τουριστικές επενδύσεις του γαμπρού του Τραμπ σε Αλβανία και Σερβία προκαλούν ανησυχίες
- Δημοφιλέστερες Ειδήσεις Mononews
- ΒΕΘ: Δημιούργησε πλατφόρμα αναζήτησης εργαζομένων-θέσεων εργασίας
- Χρυσοχοΐδης για τη δολοφονία στους Αγίους Αναργύργους: Θα αποκαλυφθεί πλήρως η αλήθεια
- Apple: Είναι η «οικιακή ρομποτική» το επόμενο μεγάλο βήμα; – Συγκρατημένα αισιόδοξοι οι επενδυτές
- BAT Hellas: Δημιουργεί νέες θέσεις εργασίας
- Νέα Senior Partner της KPMG η κα Μαρίνα Καπετανάκη
- COSMOTE – Πανελλήνιος Διαγωνισμός STEM 2024: Ρεκόρ συμμετοχής 9.000 μαθητών από όλη την Ελλάδα
- ΚΕΕΕ: Ανάγκη για άμεση μείωση των προμηθειών από τις τράπεζες
- Χατζηδάκης: Δεν ξοδεύουμε τα περισσεύματα, τα κρατάμε για τις δύσκολες περιόδους – Ειδική μεταχείριση των αμυντικών δαπανών
- Σύσσωμος ο κλάδος στο πολυθεματικό 5o Συνέδριο Επαγγελματικής Ασφάλισης
- Ποιες είναι οι πιο επικίνδυνες ευπάθειες ασφαλείας σε εταιρικές διαδικτυακές εφαρμογές;
- Τελευταία Νέα Mononews
- Ποιες είναι οι πιο επικίνδυνες ευπάθειες ασφαλείας σε εταιρικές διαδικτυακές εφαρμογές;
- BAT Hellas: Δημιουργεί νέες θέσεις εργασίας
- Σύσσωμος ο κλάδος στο πολυθεματικό 5o Συνέδριο Επαγγελματικής Ασφάλισης
- Legacy Luxury Boutique Hotel: Ένα ξενοδοχείο που υμνεί την κληρονομιά της Κρήτης
- Eurobank Equities για Τιτάν: Αγοράστε τη μετοχή – Αύξηση στην τιμή στόχο στα €31,00 από €25,30
- Χατζηδάκης: Δεν ξοδεύουμε τα περισσεύματα, τα κρατάμε για τις δύσκολες περιόδους – Ειδική μεταχείριση των αμυντικών δαπανών
- COSMOTE – Πανελλήνιος Διαγωνισμός STEM 2024: Ρεκόρ συμμετοχής 9.000 μαθητών από όλη την Ελλάδα
- Apple: Είναι η «οικιακή ρομποτική» το επόμενο μεγάλο βήμα; – Συγκρατημένα αισιόδοξοι οι επενδυτές
- ΒΕΘ: Δημιούργησε πλατφόρμα αναζήτησης εργαζομένων-θέσεων εργασίας
- Τελευταία Νέα Κατηγορίας Οικονομία
- Αλίκη Καγιαλόγλου: "Η θαλασσινή ωδή του Fernando Pessoa και τα fados της εφηβείας μου"
- Αλέξανδρος Εξάρχου: Η Ρουμανία αποτελεί ύψιστη προτεραιότητα για την Άκτωρ
- Αλέξανδρος Εξάρχου: Η Ρουμανία αποτελεί ύψιστη προτεραιότητα για την Άκτωρ
- Συνεργασία Hellenic Hull – Πανεπιστημίου Πειραιά για εκπαίδευση στη ναυτασφάλιση
- Η Principia αλλάζει το ενεργειακό τοπίο στην Ελλάδα
- Αγρότες σε απόγνωση: Λειψυδρία και κλοπές μετασχηματιστών απειλούν σοδειές
- Στ. Κασσελάκης: «Η πράσινη ενέργεια πρέπει να προαχθεί με διάφανο και δίκαιο τρόπο»
- Δίκη Folli Follie – Τζώρτζης Κουτσολιούτσος: Ήθελα να χτίσω κάτι δικό μου και να μην είμαι απλά ο γιος του Κουτσολιούτσου
- Άγιοι Ανάργυροι: Στην ανακρίτρια ο 39χρονος δράστης – Τι θα υποστηρίξει
- «Μύλος» οι Σπαρτιάτες μετά τη δίωξη: Ανεξαρτητοποιήθηκαν οι Μανούσος και Δημητροκάλλης
