Bijna alle Java apps bevatten beveiligingsproblemen
In software worden allerlei componenten met regelmaat gebruikt. Dit is echter niet zonder risico. Zo bevat pakweg 97% van alle Java applicaties een component waarin ten minste één bekend beveiligingsprobleem aanwezig is.
Dit blijkt uit het State of Software Security 2016 rapport van VeraCode. Zo wijst VeraCode op een deserialisatie-kwetsbaarheid in een versie van Apache Commons Collection, die inmiddels is verholpen via een update. De kwetsbare versie blijkt echter door 26,3% van alle Java apps te worden gebruikt. Deze apps zijn hierdoor nog steeds kwetsbaar voor het probleem.
‘Controleer eigen code op problemen’
Het bedrijf stelt dat indien een beveiligingsprobleem opduikt in third-party software, dit voor organisaties aanleiding zou moeten zijn om hun eigen code te controleren op de bron van dit probleem. Ook benadrukt VeraCode dat ontwikkelaars weliswaar een ‘Software Composition Analysis’ kunnen uitvoeren, maar dat vergelijkbare problemen in andere componenten niet inzichtelijk maakt.
Ontwikkelaars nemen overigens al allerlei maatregelen om hun apps veilig te houden. Zo implementeren ontwikkelaars protocollen voor veilige communicatie. In de helft van alle gevallen is deze communicatie echter niet goed geconfigureerd, waardoor zij apps in de praktijk niet beschermen.
Zorgsector verhelpt de minste kwetsbaarheden
Een andere zorgwekkende conclusie uit het onderzoek is het feit dat de zorgsector op dit moment beveiligingsproblemen het minst snelst verhelpt van alle sectoren. Ook haalt de sector de op één na laagste score in de OWASP test van alle sectoren. Dit is opvallend, aangezien problemen met cryptografie en het beheer van inloggegevens in de sector veel voorkomen. VeraCode noemt de resultaten problematisch, zeker met het oog op recente ransomware aanvallen en andere cyberaanvallen op zorgorganisaties.
Ook blijkt uit het onderzoek dat de topkwartiel van organisaties bijna 70% meer kwetsbaarheden verhelpt dan de gemiddelde organisatie. Best practices en de inzet van eLearning kan er voor zorgen dat kwetsbaarheid zes maal vaker worden opgelost. Ontwikkelaars die software op onofficiële wijze testen via Developer Sandbox verhelpen beveiligingsproblemen twee maal zo vaak.
Rapport
Alle resultaten en meer informatie is te vinden in het State of Software Security 2016 rapport van VeraCode.
Meer over
Lees ook
ESET publiceert voorbeelden van scam-mails
Sommige scam-mails zijn bijna hilarisch amateuristisch. Maar andere pogingen zijn soms griezelig 'echt' en nauwelijks te onderscheiden van legitieme mails. Een mooi voorbeeld publiceert ESET op zijn website We Live Security: een mail van een Chinese firma die zich voordoet als een 'domain name registration supplier' die bedoeld is om te checken of1
Biometrie voor enterprise security: zinvol of onzinnig?
Nu steeds meer smartphones voorzien worden van biometrische sensoren, komt ook de vraag op wat dit soort security-maatregelen betekenen voor enterprise-organisaties? Richard Moulds, vice president Strategy bij Thales e-Security, vraagt zich in een artikel op Help Net Security af of biometrie voor zakelijk gebruik zinvol is. Of juist onzinnig? Een interessant punt dat Moulds aanstipt is de vraag of het aantal tokens bij gebruik van fingerprint scanners wel groot genoeg is. Bij gebruik van traditionele hardware tokens kunnen we putten uit een nagenoeg onbeperkt aantal tokens. Maar bij gebruik v1
Infographic: lichaamstaal zegt veel over social engineering
Het Japanse Gengo heeft een interessante infographic opgesteld over de rol van lichaamstaal bij social engineering. Zoals bekend is social engineering een belangrijk hulpmiddel voor cybercriminelen om bijvoorbeeld inloggegevens van gebruikers los te krijgen. Hoewel de infographic verder gaat dan 'enkel en alleen' security-gerelateerde vormen van n1