加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

《2021年軟件漏洞快照:新思科技應(yīng)用安全測試服務(wù)分析》報(bào)告發(fā)布

2022/02/23
395
閱讀需 6 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

軟件風(fēng)險(xiǎn)屬于業(yè)務(wù)風(fēng)險(xiǎn),要管理業(yè)務(wù)風(fēng)險(xiǎn)應(yīng)先管理軟件風(fēng)險(xiǎn)。企業(yè)需要了解網(wǎng)絡(luò)攻擊方式,并且熟悉安全測試工具,才能在執(zhí)行軟件安全計(jì)劃時(shí)達(dá)到事半功倍的效果,進(jìn)而保障業(yè)務(wù)運(yùn)行。

新思科技(Synopsys, Inc.,Nasdaq: SNPS)近日發(fā)布了《2021年軟件漏洞快照:新思科技應(yīng)用安全測試服務(wù)分析》報(bào)告(2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下簡稱為報(bào)告)。該報(bào)告分析了2020年對(duì)2,600個(gè)目標(biāo)(即軟件或系統(tǒng))進(jìn)行的3,900次測試的數(shù)據(jù)。這些數(shù)據(jù)由新思科技安全顧問在評(píng)估中心為客戶進(jìn)行的測試匯編而成,包括滲透測試、動(dòng)態(tài)應(yīng)用安全測試和移動(dòng)應(yīng)用安全分析,模擬真實(shí)世界中攻擊者的行為以測試正在運(yùn)行的應(yīng)用。

其中83%的測試目標(biāo)是Web應(yīng)用,12%是移動(dòng)應(yīng)用,其余的則是源代碼或網(wǎng)絡(luò)系統(tǒng)/應(yīng)用。測試的行業(yè)包括軟件和互聯(lián)網(wǎng)、金融服務(wù)、商業(yè)服務(wù)、制造業(yè)、媒體和娛樂業(yè)以及醫(yī)療健康行業(yè)。

新思科技軟件質(zhì)量與安全部門安全顧問副總裁Girish Janardhanudu表示:“現(xiàn)在,基于云的部署、現(xiàn)代技術(shù)框架和快速的交付速度正迫使安全部門做出更快的反應(yīng)。由于市場上AppSec資源不足,各企業(yè)正在利用新思科技等提供的應(yīng)用安全測試服務(wù),以便靈活地?cái)U(kuò)展其安全測試。我們已經(jīng)看到,在疫情期間,安全評(píng)估需求大幅增加?!?/p>

在3,900次測試中,97%的被測目標(biāo)被發(fā)現(xiàn)存在某種形式的漏洞;其中30%的目標(biāo)是高風(fēng)險(xiǎn)漏洞;6%是嚴(yán)重風(fēng)險(xiǎn)漏洞。結(jié)果表明,安全測試的最佳方法是利用廣泛可用工具來幫助確保應(yīng)用或系統(tǒng)沒有漏洞。例如,28%的測試目標(biāo)曾遭受過跨站腳本(XSS)攻擊。這是影響web應(yīng)用最普遍和最具破壞性的高/關(guān)鍵風(fēng)險(xiǎn)漏洞之一。許多XSS漏洞僅在應(yīng)用運(yùn)行時(shí)出現(xiàn)。

報(bào)告的其他重點(diǎn):

  • 在76%的被測目標(biāo)中發(fā)現(xiàn)了2021年OWASP Top 10的漏洞。應(yīng)用程序服務(wù)器配置錯(cuò)誤占測試中發(fā)現(xiàn)的全部漏洞的21%,代表性的有OWASP A05:2021 – 安全配置錯(cuò)誤類別。另外,發(fā)現(xiàn)的總漏洞中有19%與OWASP A01:2021 – 訪問控制失效類別有關(guān)。
  • 不安全的數(shù)據(jù)存儲(chǔ)通信漏洞困擾著移動(dòng)應(yīng)用程序。在移動(dòng)測試發(fā)現(xiàn)的漏洞中,有80%與不安全的數(shù)據(jù)存儲(chǔ)有關(guān)。這些漏洞使得攻擊者可以通過物理方式(即訪問被盜設(shè)備)或者惡意軟件訪問移動(dòng)設(shè)備。移動(dòng)測試發(fā)現(xiàn)的漏洞中還有53%與不安全的通信方式相關(guān)。
  • 即使是低風(fēng)險(xiǎn)漏洞也可能被利用來促成攻擊。通過測試發(fā)現(xiàn),其中64%的漏洞被認(rèn)為是較低、低或中等風(fēng)險(xiǎn)。也就是說,攻擊者無法直接利用所發(fā)現(xiàn)的漏洞去訪問系統(tǒng)或敏感數(shù)據(jù)。盡管如此,找出這些漏洞并非無用之功,因?yàn)榧词故堑惋L(fēng)險(xiǎn)漏洞也可以被利用來促成攻擊。例如,測試中發(fā)現(xiàn)有49%的服務(wù)器橫幅能詳細(xì)提供服務(wù)器名稱、類型和版本號(hào)等信息,可能有助于攻擊者對(duì)特定的技術(shù)堆棧發(fā)動(dòng)有針對(duì)性的攻擊。
  • 對(duì)軟件物料清單的迫切需求。值得注意的是,在新思科技應(yīng)用程序安全測試服務(wù)進(jìn)行的滲透測試中,發(fā)現(xiàn)了有18%的系統(tǒng)在使用易受攻擊的第三方庫。這與2021年OWASP TOP10漏洞里的A06:2021 – 易受攻擊和過時(shí)的組件類別相一致。大多數(shù)組織一般會(huì)混合使用私有代碼、商業(yè)現(xiàn)成代碼和開源組件來開發(fā)對(duì)外銷售或內(nèi)部使用的軟件。通常情況下,這些企業(yè)僅通過非正式清單或甚至沒有清單,來記錄其軟件正在使用哪些組件,以及這些組件的許可證、版本和補(bǔ)丁狀態(tài)。由于許多企業(yè)在使用數(shù)百個(gè)應(yīng)用程序或軟件系統(tǒng),可能擁有數(shù)百至數(shù)千個(gè)不同的第三方和開源組件,因此迫切需要一份準(zhǔn)確時(shí)新的軟件物料清單(SBOM)來有效追蹤這些組件。

相關(guān)推薦

電子產(chǎn)業(yè)圖譜