Zes redenen waarom software steeds kwetsbaarder wordt voor cyberaanvallen

“Is today’s software more vulnerable?” vraagt de European Union Agency for Network and Information Security (ENISA).

Deze vraag werd gesteld kort nadat onderzoekers mogelijke kwetsbaarheden in het 4G LTE-protocol blootlegden – een incident dat absoluut geen uitzondering is. De National Vulnerability Database en Common Vulnerabilities and Exposures Database hebben in 2016 meer dan 6000 nieuwe kwetsbaarheden vastgesteld – een cijfer dat verbleekt in vergelijking met de 14.500 kwetsbaarheden die in 2017 zijn ontdekt. ENISA voegt eraan toe dat 2018 op schema ligt voor 24.000 vers onthulde kwetsbaarheden.

Waarom worden er meer kwetsbaarheden in software onthuld?

1. Er zijn steeds meer apparaten en apps met het internet verbonden, die allemaal uitgebuit kunnen worden. dat er elke maand 328 miljoen nieuwe apparaten met het internet verbonden zijn, waaronder computers, tablets, telefoons en Internet of Things (IoT) apparaten. Dit heeft tot meer concurrentie tussen de verschillende softwareleveranciers geleid. Apps worden al op de markt gelanceerd voordat ze volledig ontwikkeld zijn, of door opportunistische ontwikkelaars met “relatively low maturity is software development and secure-coding skills”, in de woorden van ENISA.

2. De vraag naar interconnectiviteit, integratie en platformcompatibiliteit maakt software complexer en opent de deur voor kwetsbaarheden. ENISA beweert dat 80 tot 90 procent van de moderne apps open-source softwarecomponenten gebruiken om  deze eisen tegemoet te komen, wat het probleem verergert. Uit een Sonatype-rapport bleek dat een op de achttien open-source componenten die in 2017 zijn gedownload, een bekend beveiligingsprobleem vertoonde.

3. Organisaties worden steeds beter in het identificeren van kwetsbaarheden. Ofwel, om precies te zijn, er zijn steeds meer mensen die organisaties informeren over hun kwetsbaarheden. De meeste softwareproblemen worden door buitenstaanders geïdentificeerd, blijkt uit een rapport van Risk Based Security. Organisaties moedigen buitenstaanders vaak aan om naar kwetsbaarheden te zoeken door beloningen aan te bieden.

4. Er zijn steeds meer cybercriminelen op zoek naar kwetsbaarheden, dus de kans is groter dat ze worden ontdekt.

5. Verkopers nemen ‘vulnerability-by-design’ over. Dit kan gedaan worden voor kwaadaardige doeleinden, verborgen commerciële agenda’s of bewakingsprogramma’s.

6. Veel software-ontwerpers gebruiken verouderde systeemarchitecturen die gevoelig zijn voor aanvallen. Dit is vaak te wijten aan een gebrek aan toezicht of kostenbesparende werkwijzen.

Het verminderen van softwarekwetsbaarheden

ENISA schetst een pessimistische toekomst voor softwareleveranciers, wat aangeeft dat de snelle toename van beveiligingslekken een essentieel onderdeel vormt van de groeiende technologie-industrie. Hoewel sommige problemen buiten de controle van organisaties liggen, zijn er manieren om het risico van softwarekwetsbaarheden te verminderen.

Alle nieuwe software zouden bijvoorbeeld aan een penetratietest moeten worden onderworpen, waarbij een professionele tester de opdracht van de organisatie krijgt om op zoek te gaan naar kwetsbaarheden, op dezelfde manier als een criminele hacker. Uiteraard is het doel om de kwetsbaarheden te vinden (en repareren), voordat een criminele hacker ze vindt en er gebruik van maakt. Penetratietests stellen organisaties in staat kwetsbaarheden te identificeren en aan te pakken voordat hun producten worden vrijgegeven.

Deze aanpak is kostenbesparender dan dat de eventuele datalekkage later ontdekt wordt en de software hersteld moet worden, of erger nog, dat een cybercrimineel het beveiligingslek ontdekt en misbruikt.

IT Governance is een CREST-geaccrediteerde leverancier van penetratietests en we bieden een verscheidenheid aan diensten aan waarmee organisaties van elke omvang hun cyberbeveiligingsstategieën kunnen beheren.

Kom meer te weten over penetratietests >>

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.