新研究发现,大量常用应用程序存在严重的安全漏洞,尤其是科技公司使用的应用程序Veracode的一份报告分析了技术、制造、零售、金融服务、医疗保健和政府部门的50万个应用程序的2000万次扫描,发现技术领域24%的应用程序存在严重缺陷。

数量惊人的应用被发现存在严重的安全漏洞

相比之下,这是存在安全漏洞的应用程序中第二高的比例(79%),只有公共部门的情况更糟(82%)。

报告进一步指出,最常见的漏洞类型包括服务器配置、不安全的依赖项和信息泄露,这些发现“广泛遵循”与其他行业类似的模式。然而,在加密问题和信息泄露方面,该行业与行业平均水平的差距最大,这促使研究人员推测科技行业的开发人员如何应对数据保护挑战。

就固定问题的数量而言,科技行业处于中间位置。不过,这些公司解决问题的速度相对较快。他们最多需要363天才能修复50%的缺陷。Veracode补充说,虽然这好于平均水平,但仍有很大的改进空间。

对于Veracode的首席研究官ChrisEng来说,这不仅仅是发现缺陷,还在于首先减少代码中引入的缺陷数量。此外,他认为企业需要更多地关注安全测试自动化。

“去年12月,Log4j为许多组织敲响了警钟。随后政府以管理和预算办公室(OMB)和欧洲网络弹性法案的指导形式采取行动,这两者都以供应链为重点,”Eng说。“为了提高未来一年的绩效,技术企业不仅应该考虑帮助开发人员降低引入代码的缺陷率的策略,还应该更加重视持续集成/持续交付(CI/CD)管道中的自动化安全测试以提高效率。”

网络犯罪分子经常分析企业使用的面向互联网的应用程序,以查找代码中的漏洞和缺陷。当他们找到一个时,他们通常会使用它来部署Webshell,这随后使他们能够访问公司网络和端点(在新标签页中打开).在绘制网络图并识别所有设备和数据后,他们可以启动第二阶段的攻击,通常是勒索软件、恶意软件或数据擦除器。