软件风险属于业务风险,要管理业务风险应先管理软件风险。企业需要了解网络攻击方式,并且熟悉安全测试工具,才能在执行软件安全计划时达到事半功倍的效果,进而保障业务运行。
新思科技(Synopsys, Inc.,Nasdaq: SNPS)近日发布了《2021年软件漏洞快照:新思科技应用安全测试服务分析》报告(2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下简称为报告)。该报告分析了2020年对2,600个目标(即软件或系统)进行的3,900次测试的数据。这些数据由新思科技安全顾问在评估中心为客户进行的测试汇编而成,包括渗透测试、动态应用安全测试和移动应用安全分析,模拟真实世界中攻击者的行为以测试正在运行的应用。
其中83%的测试目标是Web应用,12%是移动应用,其余的则是源代码或网络系统/应用。测试的行业包括软件和互联网、金融服务、商业服务、制造业、媒体和娱乐业以及医疗健康行业。
新思科技软件质量与安全部门安全顾问副总裁Girish Janardhanudu表示:“现在,基于云的部署、现代技术框架和快速的交付速度正迫使安全部门做出更快的反应。由于市场上AppSec资源不足,各企业正在利用新思科技等提供的应用安全测试服务,以便灵活地扩展其安全测试。我们已经看到,在疫情期间,安全评估需求大幅增加。”
在3,900次测试中,97%的被测目标被发现存在某种形式的漏洞;其中30%的目标是高风险漏洞;6%是严重风险漏洞。结果表明,安全测试的最佳方法是利用广泛可用工具来帮助确保应用或系统没有漏洞。例如,28%的测试目标曾遭受过跨站脚本(XSS)攻击。这是影响web应用最普遍和最具破坏性的高/关键风险漏洞之一。许多XSS漏洞仅在应用运行时出现。
报告的其他重点:
- 在76%的被测目标中发现了2021年OWASP Top 10的漏洞。应用程序和服务器配置错误占测试中发现的全部漏洞的21%,代表性的有OWASP A05:2021 – 安全配置错误类别。另外,发现的总漏洞中有19%与OWASP A01:2021 – 访问控制失效类别有关。
- 不安全的数据存储和通信漏洞困扰着移动应用程序。在移动测试发现的漏洞中,有80%与不安全的数据存储有关。这些漏洞使得攻击者可以通过物理方式(即访问被盗设备)或者恶意软件访问移动设备。移动测试发现的漏洞中还有53%与不安全的通信方式相关。
- 即使是低风险漏洞也可能被利用来促成攻击。通过测试发现,其中64%的漏洞被认为是较低、低或中等风险。也就是说,攻击者无法直接利用所发现的漏洞去访问系统或敏感数据。尽管如此,找出这些漏洞并非无用之功,因为即使是低风险漏洞也可以被利用来促成攻击。例如,测试中发现有49%的服务器横幅能详细提供服务器名称、类型和版本号等信息,可能有助于攻击者对特定的技术堆栈发动有针对性的攻击。
- 对软件物料清单的迫切需求。值得注意的是,在新思科技应用程序安全测试服务进行的渗透测试中,发现了有18%的系统在使用易受攻击的第三方库。这与2021年OWASP TOP10漏洞里的A06:2021 – 易受攻击和过时的组件类别相一致。大多数组织一般会混合使用私有代码、商业现成代码和开源组件来开发对外销售或内部使用的软件。通常情况下,这些企业仅通过非正式清单或甚至没有清单,来记录其软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。由于许多企业在使用数百个应用程序或软件系统,可能拥有数百至数千个不同的第三方和开源组件,因此迫切需要一份准确时新的软件物料清单(SBOM)来有效追踪这些组件。