Le applicazioni web sono suscettibili di vulnerabilità
Le vulnerabilità nel controllo degli accessi e il rischio di divulgazione dei dati sono le falle di sicurezza più diffuse nelle applicazioni web sviluppate internamente. Lo dimostra una recente analisi di Kaspersky per il periodo 2021-2023.
Per l'analisi, Kaspersky ha esaminato le vulnerabilità delle applicazioni web sviluppate internamente da aziende dei settori IT, governativo, assicurativo, delle telecomunicazioni, delle criptovalute, dell'e-commerce e della sanità.
La maggior parte (70%) delle vulnerabilità riscontrate riguarda la protezione dei dati in relazione a informazioni riservate come password, dati di carte di credito, cartelle cliniche, dati personali e informazioni aziendali riservate o controllo degli accessi. Quest'ultimo consente ai criminali informatici di aggirare le linee guida dei siti web e, ad esempio, di modificare o cancellare i dati.
Nella maggior parte delle applicazioni analizzate, gli esperti hanno riscontrato un totale di diverse decine di vulnerabilità relative al controllo degli accessi e alla protezione dei dati; molti dei livelli di rischio più elevati erano associati alle iniezioni SQL. Alcune delle vulnerabilità analizzate presentavano addirittura un rischio elevato. Ad esempio, l'88% di tutte le vulnerabilità SQL injection analizzate era ad alto rischio; inoltre, il 78% è stato classificato come ad alto rischio nell'area delle password deboli.
Inoltre, il 22% di tutte le applicazioni Web esaminate da Kaspersky aveva password deboli. Una possibile ragione è che le applicazioni incluse nel campione potrebbero essere versioni di prova e non sistemi reali.
Oxana Andreeva, esperta di sicurezza del team Kaspersky Security Assessment, commenta: "La ricerca è stata condotta tenendo conto delle vulnerabilità più comuni nelle applicazioni web sviluppate internamente dalle organizzazioni e del loro livello di rischio. Gli aggressori potrebbero utilizzarle per rubare i dati di autenticazione degli utenti o per eseguire codice dannoso sul server. Ogni vulnerabilità ha un impatto diverso sulla continuità operativa e sulla resilienza. Le aziende dovrebbero quindi prestare attenzione alla sicurezza quando sviluppano applicazioni web e rivederle costantemente".
Raccomandazioni di Kaspersky per la protezione delle applicazioni Web sviluppate in azienda
- Implementare un ciclo di vita di sviluppo del software sicuro (SSDLC).
- Eseguire valutazioni periodiche della sicurezza delle applicazioni e adottare misure appropriate.
- Monitorare il funzionamento delle applicazioni.
Fonte: www.kaspersky.de