Ads 468x60px

keskiviikko 3. kesäkuuta 2015

Useimmissa web-sivustoissa vakavia haavoittuvuuksia

Hiljattain julkaistiin raportti, jossa oli analysoitu kymmeniä tuhansia sivustoja tietoturvanäkökulmasta. Tutkimuksen teki WhiteHat Security ja se ajoittui viime vuoteen. Dataa kerättiin sadoilta tunnetuilta organisaatioilta, ja analysoitua dataa kertyi satoja teratavuja. Raportin mukaan useimmista web-sivustoista löytyi ainakin yksi vakava haavoittuvuus. Hälyyttävää on se, että haavoittuvuudet olivat vaarantaneet sovellusten tietoturvaa useiden kuukausien ajan.

Analyysissä vertailtiin eri toimialoja keskenään. Huonoiten haavoittuvuusvertailussa menestyi julkishallinto, jonka sivustoista 64 prosenttia oli haavoittuvia päivittäin ympäri vuoden. Huonosti menestyivät myös logistiikka-ala, tuotanto,  majoitus- ja ravitsemusala sekä vähittäiskauppa, joiden web-sivustoista suurimmassa osassa todettiin olevan jatkuvasti ainakin yksi vakava haavoittuvuus. Terveydenhoitoalan sivustoista jatkuvasti haavoittuvia oli puolet ja rahoitus- ja vakuutusalan web-sivustoistakin yli kolmasosa.

Haavoittuvuudet voivat vaarantaa useita järjestelmiä ja niitä hyväksikäyttämällä hyökkääjä voi saada käyttäjien tietoja tai ottaa ottaa jopa haltuunsa käyttäjätilejä. Tämä aiheuttaa organisaatioille vakavan maineriskin ja voi johtaa asiakkaiden menetykseen, sakkoihin ja oikeusjuttuihin.

Kuinka asian sitten voisi korjata? Tutkimuksessa havaituista haavoittuvuuksista ainoastaan prosentti tai pari oli sellaisia, jotka olivat korjattavissa tietoturvapäivityksillä. Suurin osa haavoittuvuuksista löytyi kustomoitujen web-sovellusten ohjelmistoista. Murtotestaus on yksi keino, jolla voidaan löytää web-sovelluksissa olevia haavoittuvuuksia. Tutkimuksessa havaittiin, että sen jälkeen kun organisaatiot alkoivat käyttää murtotestaajia, haavoittuvuuksien määrä laski keskimäärin 65 prosenttia.

WhiteHat selvitti noin sadankahdenkymmenen yrityksen otannalta syytä siihen miksi näitä haavoittuvuuksia ei korjata. Suurin yksittäinen tekijä oli ylläpitopolitiikka. Toinen merkittävä tekijä liittyi siihen kirjattiinko löydetyt haavoittuvuudet haavoittuvuuksienseurantajärjestelmään. Organisaatiot, joissa lähetetään haavoittuvuus- ja murtotestauksien havainnot seurantajärjestelmään - sen sijaan että vain kerrottaisiin ohjelmistokehittäjille - oli keskimäärin 45 prosenttia vähemmän haavoittuvuuksia. Parhaana käytäntönä voidaankin pitää säännöllisten tietoturvatestausten tekemistä ja seurantajärjestelmän käyttöönottamista ja integroimista osaksi ohjelmistokehityksen prosesseja.

Ei kommentteja:

Lähetä kommentti