29 april 2024
0 Reactie(s)

29 april 2024

Eén derde van applicaties niet veilig en mogelijk toegankelijk voor kwaadwillenden, blijkt uit onderzoek 

De bevei­li­ging van (online) appli­ca­ties is nog steeds geen toppri­o­ri­teit voor organi­sa­ties in Neder­land. Dit blijkt uit onder­zoek van cyber­se­cu­rity-speci­a­list Compu­test Security. Ethische hackers van het bedrijf hebben bij 30 procent van de appli­ca­ties die zij hebben getest zelfs kritieke kwets­baar­heden gecon­sta­teerd die directe aandacht vereisen, omdat deze een groot risico vormen voor de bevei­li­ging, data privacy of bedrijfs­con­ti­nu­ï­teit van organisaties. 

Ook vonden zij in bijna een derde van de onder­zochte appli­ca­ties kwets­baar­heden in het autori­sa­tie­me­cha­nisme waardoor kwaad­wil­lenden hier mogelijk toegang tot kunnen krijgen. De meest voorko­mende oorzaken van de kwets­baar­heden zijn het gebruik van verou­derde software die niet meer wordt onder­steund, het niet uitvoeren van updates en het ontbreken van multifactorauthenticatie. 

Voor het onder­zoek ‘De Staat van Appli­ca­tie­be­vei­li­ging’ van Compu­test Security zijn de resul­taten van ruim 300 security-testen die gedurende een jaar zijn uitge­voerd op appli­ca­ties van verschil­lende organi­sa­ties, geana­ly­seerd. Hiermee ontstaat een beeld van de belang­rijkste risico’s rond de veilig­heid van appli­ca­ties. Uit de geano­ni­mi­seerde analyse blijkt dat een appli­catie gemid­deld twaalf kwets­baar­heden bevat. Hiervan is naar de maatstaven van de inter­na­ti­o­naal erkende CVSS-scorings­me­tho­diek bijna een derde een belang­rijke of zelfs kritieke kwets­baar­heid. Deze kwets­baar­heden kunnen grote impact hebben op organi­sa­ties en moeten idealiter direct worden opgelost. 

Situatie in praktijk nog slechter

“Het is belang­rijk om bij de onder­zoeks­re­sul­taten aan te merken dat de daadwer­ke­lijke staat van appli­ca­tie­be­vei­li­ging in de praktijk mogelijk slechter zal zijn. De organi­sa­ties die zijn meege­nomen in het geano­ni­mi­seerde onder­zoek hebben ons proac­tief gevraagd om een security-test en hebben daarmee al aandacht voor het perio­diek uitvoeren hiervan”, zegt Dennis de Hoog, CEO van Compu­test Security. “Daarom vormen de resul­taten niet noodza­ke­lijk een afspie­ge­ling van het gemid­delde niveau van appli­ca­tie­vei­lig­heid en verwachten wij dat de situatie in de praktijk slechter is dan de cijfers in ons rapport laten zien.” 

Opval­lend was dat bij 32 procent van de testen één van de meest kriti­sche kwets­baar­heden werd gevonden: cross-site scrip­ting (XSS). Hierbij kan de aanvaller kwaad­aar­dige code injec­teren in de appli­catie die vervol­gens wordt uitge­voerd zodra iemand de appli­catie gebruikt. Op deze manier kan gevoe­lige data worden gestolen of kunnen gebrui­kers ongemerkt worden doorge­stuurd naar een malafide website. Voor deze kwets­baar­heid gold dat deze in bijna 60 procent van de gevallen zelfs misbruikt kon worden zonder een account voor de appli­catie te hebben. 

Kwetsbaarheden in autorisatie en authenticatie

De ethische hackers vonden bij bijna 30 procent van de appli­ca­ties kwets­baar­heden in het autori­sa­tie­me­cha­nisme. Dit betekent dat niet op de juiste wijze wordt gecon­tro­leerd of de ingelogde medewerker het recht heeft de gevraagde functi­o­na­li­teit te gebruiken. Bij één op de tien testen bleek het zelfs mogelijk om beheer­taken uit te voeren vanuit een normale gebruiker. Hiermee zou de aanvaller in bepaalde gevallen de volle­dige appli­catie kunnen overnemen. Verder liet bij 34 procent van de geteste appli­ca­ties de security van de authen­ti­catie te wensen over. Bij 19 procent van de appli­ca­ties werd boven­dien nog geen gebruik­ge­maakt van multi­fac­to­r­au­then­ti­catie (MFA) of was dit niet juist geïmple­men­teerd. Dit maakt het voor een aanvaller makke­lijker om via gestolen gegevens toegang te krijgen. 

Verouderde software van derden 

De grootste oorzaken van kwets­baar­heden zijn het gebruik van verou­derde software, het niet doorvoeren van de benodigde updates en het ontbreken van sterke authen­ti­catie-oplos­singen. Ook het gebruik van compo­nenten van derde partijen vormt een groot risico. Zo vonden de ethische hackers van Compu­test Security in bijna 70 procent van de testen kwets­baar­heden in derge­lijke compo­nenten. Daarbij werd bij 39 procent van de testen boven­dien gecon­sta­teerd dat de betref­fende software helemaal niet meer wordt onder­steund met security-updates. 

Maatregelen om risico’s te verkleinen

Het volledig voorkomen van kwets­baar­heden is lastig, maar organi­sa­ties kunnen met de juiste maatre­gelen wel de risico’s verkleinen. Dit begint aan de basis bij het ontwik­kelen of aankopen van software. Zijn deze ontworpen volgens het ‘secure by design-principe’? Door deze principes mee te nemen bij het aankopen, ontwik­kelen en integreren van software kan het risico op kwets­baar­heden worden verkleind. Als de software in gebruik is genomen, is het raadzaam deze regel­matig te testen. Zo is de kans groter dat niet alleen kwets­baar­heden die er vanaf het ontwerp al inzitten te ontdekken, maar ook nieuwe kwets­baar­heden tijdig te signa­leren. Verder is het essen­tieel sterkte authen­ti­ca­tie­tools en een update­be­leid te hebben waarbij updates direct worden geïnstal­leerd zodra deze worden aangeboden. 

“Hoewel we dagelijks in het nieuws gecon­fron­teerd worden met de risico’s van cyber­be­drei­gingen, zien we dat er nog te weinig actie wordt onder­nomen”, aldus De Hoog. “De maatre­gelen die kunnen worden genomen zijn over het algemeen geen rocket science, maar staan niet hoog op de agenda. Boven­dien krijgen appli­ca­ties vaak minder aandacht dan interne- of cloud-netwerken. Dit terwijl appli­ca­ties net zo goed onder­deel uitmaken van het aanvals­op­per­vlak. Zolang organi­sa­ties niet getroffen worden door een security-incident is er weinig aandacht voor. Zodra er echter wel een incident plaats­vindt, is meteen de impact duide­lijk. Niet alleen voor de organi­satie zelf, maar ook voor de gebrui­kers van de appli­catie en soms ook derden. Denk aan het misbruiken van data uit appli­ca­ties voor crimi­nele doeleinden. Dit heeft doorgaans grote gevolgen voor het bedrijf en de direct en indirect betrok­kenen. Daarmee werkt een incident door in de hele keten.” 

Foto: Lewis Kang’ethe Ngugi

0 Reactie(s)

0 reacties

Reacties gesloten

De reactiemogelijkheid is verlopen. (14 dagen)

Nieuwsbrief

Pin It on Pinterest

Share This