6 grunde til, hvorfor software bliver mere sårbar overfor cyberangreb

“Er software i dag mere sårbar?” spørger den europæiske unions agentur for netværk og informationssikkerhed (ENISA).

Det spørgsmål blev stillet kort tid efter, at forskere afslørede en potentiel  isårbarhed for hele branchen i 4G LTE protokollen, en hændelse som langtfra er enestående. Databasen for   national sårbarhed  og databasen for  almene sårbarheder og afsløringer  registrerede begge flere end 6.000 nye sårbarheder i 2016 – et tal som blegner i sammenligning med de 14.500 sårbarheder, der blev opdaget i 2017. ENISA tilføjer, at 2018 er på vej til at have 24.000 afslørede sårbarheder.

Hvorfor opdages flere software sårbarheder?

  1. Der er flere enheder og anvendelser forbundet med internettet, der kan udnyttes. Property Update påstår at 328 million nye enheder forbindes med internettet hver måned, fra computere til tablets, telefoner og enheder til tingenes internet (IoT). Det har ført til større konkurrence imellem software udbydere og anvendelser skubbes på markedet, før de er klar, eller af opportunistisk udviklere med “en relativ lav modenhed i softwareudvikling og evner udi sikkerhedscodering”.
  2. Efterspørgslen efter interkonnektivitet, integration og platformskompabilitet gør software mere komplex og åbner døren for sårbarheder. ENISA bemærker, at 80-90% af moderne anvendelser bruger open-source softwarekomponenter til at imødegå denne efterspørgsel, som skærper problemet. En Sonatype rapport fandt ud af, at  1 ud af 18 open-source komponenter downloadet i 2017 havde en kendt sikkerhedssårbarhed.
  3. Organisationer er ved at blive bedre til at identificere sårbarheder – eller for at være mere præcis, er der flere mennesker, der informerer organisationer om sårbarheder. Hoveddelen af softwarefejl identificeres af udenforstående ifølge en rapport af Risk Based Security. Organisationer opmuntrer ofte udenforstående til at kigge efter sårbarheder ved at tilbyde dusør.
  4. Der er flere cyberkriminelle på udkig efter sårbarheder, så det er mere sandsynligt, at de bliver opdaget.
  5. Forhandlere tilegner sig en ”sårbarhed-som-del-af-designet”. Det er måske til ondsindede formål, gemte kommercielle agendaer eller overvågningsprogrammer.
  6. Mange software designere bruger forældet systemarkitektur, som er følsom for angreb. Det er enten en forglemmelse eller et forsøg på at spare penge.

At afbøde for sårbarheder i softwaren

ENISA tegner et pessimistisk billede af fremtiden for softwareudbydere og anfører, at den stærke stigning i sikkerhedsmangler er en integral del af den voksende teknologiske industri. Selvom mange problemer er udenfor organisationers kontrol, er der mange måder at lindre risikoen for sårbarheder i softwaren. For eksempel bør al ny software udsættes for en  indbrudstest, hvor en professionel tester, som arbejder på vegne af organisationen, kigger efter sårbarheder på samme måde som en kriminel hacker ville gøre det.

Indbrudstests giver organisationer mulighed for at identificere og behandle sårbarheder, før deres produkter udgives. Det er mere omkostningseffektivt end at opdage sårbarheden senere og være nødt til at patche softwaren eller endnu værre, at en cyberkriminel opdager og udnytter sårbarheden.

IT Governance er en CREST-akkrediteret udbyder af indbrudstests og vi tilbyder en bred service til at hjælpe organisationer af alle størrelser med at forvalte deres cyber sikkerhedsstrategier.

Lær mere om indbrudstests >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.