Crédit : Dreamstime
Malgré des années en tête des listes de vulnérabilités, les erreurs d’injection SQL et de script intersite (XSS) restent le fléau des équipes de sécurité, selon un nouveau rapport par un test d’intrusion -Société en tant que service.
Le rapport de BreachLock, basé sur 8 000 tests de sécurité effectués en 2021, organise ses conclusions en fonction du risque. Les découvertes de risques critiques représentent une menace très élevée pour les données d’une entreprise. Des risques élevés pourraient avoir un effet catastrophique sur les opérations, les actifs ou les individus d’une organisation. Des risques moyens pourraient avoir un impact négatif sur les opérations, les actifs ou les personnes.
Plus d’un tiers des risques critiques rencontrés dans les applications Web (35 %) peuvent être attribués à l’injection ou à l’exposition de données, ce qui, selon le rapport, est un sujet de préoccupation en raison du nombre d’applications hébergées sur Internet. de plus en plus avec l’augmentation de la numérisation des organisations.
« Bien que l’injection SQL soit une vulnérabilité si courante depuis des années, je suis surpris de voir qu’elle est toujours aussi courante qu’elle l’était en 2014, 2015 », a déclaré le vice-président des produits BreachLock, Prateek Bhajanka. « Plus de 27 % de nos résultats sont des résultats d’injection SQL. »
Unedoption de DevSecOps améliorant la sécurité des applications
Ce qui est encore plus alarmant, selon le rapport, c’est que plus de 50 % des résultats à haut risque trouvés dans les applications Web pourraient être liés à des erreurs de script intersite. Le rapport explique que les développeurs adoptent souvent l’approche de la « liste de refus » pour la validation des données plutôt que l’approche de la « liste d’autorisation », ce qui conduit à de nouvelles données exploitant les vulnérabilités de script intersite.
Néanmoins, les résultats critiques et élevés pour les applications Web ne représentent que 5 % de tous les résultats de la catégorie. Ces informations réaffirment que la sécurité des applications Web, en particulier avec l’adoption de DevSecOps, se traduit par une sécurité des applications améliorée, selon le rapport.
En analysant l’infrastructure des organisations, BreachLock a trouvé un pourcentage plus élevé de vulnérabilités critiques et élevées dans leur infrastructure interne (plus de 15 %) par rapport à leur infrastructure externe (plus de 9 %). Cela indique, note le rapport, que les organisations imposent une plus grande rigueur dans la gestion des vulnérabilités externes que des vulnérabilités internes.
Le rapport avertit que les cybermenaces ne proviennent pas uniquement d’actifs externes. Les systèmes internes peuvent être piratés à l’aide d’e-mails de phishing et d’informations d’identification volées pour élever les privilèges et se déplacer latéralement au sein d’un réseau.
Les petites organisations sont plus vulnérables
Les résultats critiques et élevés étaient faibles dans les applications mobiles, à peine plus de 7 % pour les applications Android et près de 5 % pour les programmes iOS. Parmi les erreurs élevées et critiques les plus courantes dans les applications mobiles identifiées dans le rapport figurent les informations d’identification codées en dur dans les applications. En utilisant ces informations d’identification, les attaquants peuvent accéder à des informations sensibles, explique le rapport.
Plus de 75 % des erreurs détectées dans les API appartenaient à la catégorie inférieure. Cependant, le rapport prévient qu’un faible risque n’est pas synonyme d’absence de risque. Les acteurs de la menace ne tiennent pas compte de la gravité des découvertes avant d’exploiter une vulnérabilité, a-t-il averti. Parmi les risques critiques les plus élevés détectés dans les API, il y avait les contrôles au niveau des fonctions manquants (47,55 %) et les vulnérabilités Log4Shell (17,48 %).
Sur tous les résultats importants et critiques dans les entreprises, note le rapport, 87 % ont été trouvés dans des organisations de moins de 200 employés. Le rapport a identifié plusieurs raisons à cela, notamment la cybersécurité étant une réflexion après coup dans des organisations relativement petites ; un manque de bande passante, de savoir-faire en matière de sécurité et de personnel ; un manque de leadership et de budget en matière de sécurité ; et la vitesse des affaires surpassant le besoin de faire des affaires en toute sécurité.
Le rapport a également analysé les délais moyens d’atténuation des résultats critiques et élevés par secteur d’activité, en trouvant les délais les plus élevés dans les secteurs de la fabrication (101 jours) et de la santé (95,56 jours) et les délais les plus bas dans l’automobile (30 jours) et les services professionnels. (33 jours) secteurs.
Bhajanka espère que les organisations pourront utiliser les conclusions du rapport pour améliorer leur posture de cybersécurité. « Ils pourront voir s’ils s’en sortent mieux que leurs homologues mondiaux du secteur ou s’ils s’en sortent moins bien », observe-t-il. « S’ils vont moins bien, cela devrait être une alarme pour eux. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
