Kritične ranjivosti u digitalnim sustavima: Nova istraživanja otkrivaju velike rizike
Prema novim istraživanjima, kritične ranjivosti često ostaju neprimijećene u mnogim digitalnim sustavima, što izlaže tvrtke značajnim sigurnosnim rizicima. S porastom ovisnosti organizacija o softveru trećih strana i složenim opskrbnim lancima, prijetnje od cyber napada više nisu ograničene samo na unutarnje resurse. Mnoge od najsigurnijih ranjivosti dolaze iz vanjskih izvora.
Izvještaj o upravljanju vanjskom izloženošću za 2024. godinu
Izvještaj „Stanje upravljanja vanjskom izloženošću 2024“ tvrtke CyCognito analizira rizike s kojima se organizacije danas suočavaju, posebno u vezi s web poslužiteljima, kriptografskim protokolima i web sučeljima koja obrađuju osobne podatke (PII).
Uloga dobavljača trećih strana
- Dobavljači trećih strana igraju ključnu ulogu u operacijama mnogih tvrtki, nudeći bitne hardverske i softverske alate.
- Ipak, njihovo uključivanje može uvesti značajne rizike, posebice kada je riječ o pogrešnim konfiguracijama i ranjivostima cijelog opskrbnog lanca.
Mnoge od najtežih ranjivosti, poput MOVEit Transfer propusta, Apache Log4J i Polyfill, povezane su s softverom trećih strana.
Web poslužitelji kao ranjivi resursi
Web poslužitelji su dosljedno među najranjivijim resursima u IT infrastrukturi organizacija. Prema nalazima CyCognito-a, web poslužiteljsko okruženje čini svaki treći (34%) od svih teških problema među ispitanim resursima. Platforme poput Apache, NGINX, Microsoft IIS i Google Web Server stoje u središtu ovih zabrinutosti, s više ozbiljnih problema nego 54 druga okruženja zajedno.
Pitanje sigurnosti kriptografskih protokola
Osim problema s web poslužiteljima, ranjivosti u kriptografskim protokolima poput TLS (Transport Layer Security) i HTTPS također najviše zabrinjavaju. Izvještaj ukazuje da 15% svih ozbiljnih problema na napadačkom prostoru utječe na platforme koje koriste TLS ili HTTPS protokole. Web aplikacije koje nemaju odgovarajuću enkripciju posebno su izložene riziku, zauzimajući drugo mjesto na OWASP Top 10 popisu sigurnosnih rizika.
Neadekvatna zaštita web sučelja
Izvještaj CyCognito-a također ističe nedostatak zaštite putem Web Application Firewall (WAF), posebno za web sučelja koja obrađuju osobne identifikacijske informacije (PII). Pokazuje se da je samo polovica ispitanih web sučelja koja obrađuju PII bila zaštićena WAF-om, što ostavlja osjetljive informacije ranjivima. Još je zabrinjavajuće što 60% sučelja koja izlažu PII također nema zaštitu WAF-om.
Zaključak
Nažalost, zastarjeli pristupi upravljanju ranjivostima često ostavljaju resurse izložene, pojačavajući rizike. Organizacije moraju usvojiti proaktivan i sveobuhvatan pristup upravljanju vanjskom izloženošću kako bi zaštitile svoja digitalna sredstva.
Ulaganje u sigurnosne protokole i alatne resurse može pomoći tvrtkama da umanje rizike i osiguraju zaštitu osobnih podataka svojih korisnika. U današnjem digitalnom svijetu, sigurnost više nije opcija, već nužnost.
