Veracode, wiodący światowy dostawca rozwiązań do testowania bezpieczeństwa aplikacji, ujawnił dzisiaj, że branża opieki zdrowotnej zajmuje pierwsze miejsce pod względem odsetka luk w zabezpieczeniach oprogramowania, którego odsetek wynosi 27%. Sektor wyprzedził usługi finansowe pod względem najwyższej wydajności, co pokazuje, że podmioty świadczące opiekę zdrowotną poczyniły w ciągu ostatniego roku znaczny postęp w zwiększaniu bezpieczeństwa swojego oprogramowania.
Dane zostały opublikowane w corocznym raporcie firmy dotyczącym stanu bezpieczeństwa oprogramowania (SoSS) v12, będącym wynikiem analizy 20 milionów skanów w pół miliona aplikacji w sektorach opieki zdrowotnej, finansów, technologii, produkcji, dystrybucji i administracji.
Chris Eng, szef działu badań w Veracode, powiedział: „Opieka zdrowotna jest jednym z najbardziej regulowanych sektorów i jest uważana przez rząd za infrastrukturę krytyczną. Dlatego zachęcające jest postrzeganie tego stosunkowo pozytywnego zachowania pod względem ogólnych poprawek podatności. Mamy nadzieję, że programiści i personel IT w branży medycznej postrzegają to jako mile widziany pozytyw w świecie bezpieczeństwa oprogramowania, co zbyt często nie jest zbyt zachęcające. Jest jeszcze wiele do zrobienia, więc czekamy na dalsze ulepszenia w nadchodzących latach ”.
Pomimo pierwszego miejsca osiągniętego dzięki stałemu odsetkowi podatności, 77% aplikacji w sektorze opieki zdrowotnej jest dotkniętych tymi problemami, przy czym poważny poziom w 21% przypadków. Sektor ma również duże pole do poprawy pod względem czasu spędzonego na korygowaniu podatności po ich wykryciu, z oszałamiającą liczbą 447 dni do osiągnięcia punktu środkowego korekty.
Ponieważ firmy opieki zdrowotnej stoją w obliczu najwyższego średniego kosztu naruszenia, który osiągnął nowy rekord w wysokości 10,1 mln USD*, konieczne jest podjęcie proaktywnych kroków w celu zminimalizowania ryzyka cyberataków. Ponieważ naruszenia bezpieczeństwa danych w branżach o wysokim stopniu regulacji zwykle wiążą się z wyższymi długoterminowymi kosztami, które kumulują się przez lata, segment ten może jeszcze bardziej skorzystać na jeszcze bardziej zintegrowanych wysiłkach na rzecz bezpieczeństwa od samego początku, na wczesnych etapach cyklu rozwoju oprogramowania.
Spośród 6 przeanalizowanych sektorów sektor zdrowia zajmuje ostatnie miejsce pod względem odsetka wniosków z podatnością dowolnego typu i jest na przedostatnim miejscu pod względem odsetka podatności o wysokim poziomie dotkliwości, ocenianych na podstawie poważne ryzyko dla aplikacji i organizacji w przypadku faktycznych naruszeń. Jeśli chodzi o rodzaje naruszeń wykrytych w ramach dynamicznej analizy aplikacji w branży, dostawcy usług medycznych uzyskują dobre wyniki pod względem problemów z uwierzytelnianiem i niezabezpieczonych zależności w porównaniu z innymi segmentami, ale są bardziej narażeni na problemy z uwierzytelnianiem, szyfrowaniem i konfiguracją wdrażania.
„Wiemy, że żadna aplikacja nie będzie w 100% zabezpieczona przed lukami w zabezpieczeniach, dlatego ważne jest, aby firmy podjęły wszelkie niezbędne kroki w celu maksymalnego ograniczenia ryzyka; obejmuje to czynności skanowania w szybkim i regularnym tempie, z różnymi typami testów, integrację narzędzi testowych ze środowiskami programistycznymi oraz praktyczne szkolenie, aby pomóc programistom zrozumieć źródło luk w zabezpieczeniach i je naprawić lub całkowicie ich uniknąć. Sektor zdrowia powinien również skoncentrować się w szczególności na nadawaniu priorytetu krytycznym słabym punktom, które mogą mieć katastrofalne skutki, jeśli nie zostaną uwzględnione zbyt długo ”.
Andrew McCall, wiceprezes ds. inżynierii w Azalea Health Innovations, powiedział: „Największą przeszkodą w tworzeniu bezpieczeństwa w naszych przepływach pracy jest to, że programiści traktują to jako prosty komponent, jak każdy inny, podczas gdy jest to ciągły proces, który zawsze musi być priorytet w całym cyklu życia oprogramowania. Wybraliśmy Veracode, ponieważ jest to najprostsze i najbardziej optymalne rozwiązanie do integracji z naszymi istniejącymi procesami ”.
Biorąc pod uwagę gwałtowny wzrost przepisów chroniących łańcuch dostaw oprogramowania w zeszłym roku, w raporcie przeanalizowano biblioteki innych firm, aby zidentyfikować zachowanie podatności wykrytych za pomocą analizy składu oprogramowania (SCA). W sumie około 30% zagrożonych bibliotek pozostaje narażonych po dwóch latach, ale statystyki są zredukowane do 25% w przypadku sektora zdrowia. W rzeczywistości, podczas gdy globalny odsetek bibliotek narażonych na podatności zidentyfikowane przez SCA ma tendencję do stałego zmniejszania się w czasie, sektor opieki zdrowotnej doświadczył krótkiego wzrostu przed drastycznym zmniejszeniem tego odsetka, mniej więcej w ciągu ostatniego roku.
W raporcie Veracode State of Software Security (SoSS) v12 przeanalizowano kompleksowe dane historyczne dotyczące usług i klientów Veracode. To łącznie ponad pół miliona aplikacji (592.720 10.34.855), dla których wykorzystano wszystkie typy skanów, ponad milion dynamicznych skanów analitycznych (5.137.882 18 18.473.203), ponad pięć milionów statycznych skanów analitycznych (42 3,5 6) i ponad XNUMX milionów skanów analitycznych na skład oprogramowania (XNUMX XNUMX XNUMX). Wszystkie te skany wygenerowały XNUMX miliony surowych wyników statycznych, XNUMX miliona surowych wyników dynamicznych i XNUMX milionów surowych wyników SCA.
Dane reprezentują duże i małe firmy, komercyjnych dostawców oprogramowania, zewnętrznych dostawców oprogramowania oraz projekty typu open source. W większości analiz aplikacja była liczona tylko raz, mimo że została zgłoszona kilka razy w celu naprawienia jej luk i zostały przesłane nowe wersje.
Veracode jest wiodącym partnerem AppSec w zakresie tworzenia bezpiecznego oprogramowania, zmniejszania ryzyka naruszeń bezpieczeństwa oraz zwiększania produktywności zespołów ds. bezpieczeństwa i programistów. Firmy, które polegają na Veracode, mogą zatem promować swój biznes i pchać świat do przodu. Łącząc automatyzację procesów, integracje, szybkość i responsywność, Veracode pomaga organizacjom uzyskiwać dokładne i wiarygodne wyniki, dzięki czemu mogą skoncentrować swoje wysiłki na naprawianiu, a nie tylko znajdowaniu potencjalnych luk w zabezpieczeniach.
Copyright © 2022 Veracode, Inc. Wszelkie prawa zastrzeżone. Veracode jest zarejestrowanym znakiem towarowym Veracode, Inc. w Stanach Zjednoczonych i może być również zgłoszony w innych jurysdykcjach. Wszystkie inne nazwy produktów, znaki towarowe lub akronimy należą do ich odpowiednich właścicieli. Wszystkie inne znaki towarowe wymienione w tej informacji prasowej są własnością ich odpowiednich właścicieli.
Google DeepMind wprowadza ulepszoną wersję swojego modelu sztucznej inteligencji. Nowy ulepszony model zapewnia nie tylko…
Laravel, znany ze swojej eleganckiej składni i potężnych funkcji, zapewnia również solidną podstawę architektury modułowej. Tam…
Cisco i Splunk pomagają klientom przyspieszyć podróż do Centrum Operacji Bezpieczeństwa (SOC) przyszłości dzięki…
Ransomware dominuje w wiadomościach od dwóch lat. Większość ludzi doskonale zdaje sobie sprawę, że ataki…
W Poliklinice w Katanii przeprowadzono operację oftalmoplastyki przy użyciu komercyjnej przeglądarki Apple Vision Pro…
Rozwijanie umiejętności motorycznych poprzez kolorowanie przygotowuje dzieci do bardziej złożonych umiejętności, takich jak pisanie. Kolorować…
Sektor morski to prawdziwa światowa potęga gospodarcza, która osiągnęła 150-miliardowy rynek...
W ubiegły poniedziałek Financial Times ogłosił zawarcie umowy z OpenAI. FT udziela licencji na swoje światowej klasy dziennikarstwo…
