Zweiter Schwachstellen-Jahresbericht von Synack zeigt Anstieg beim Schweregrad sowie Fortschritte bei der Behebung
Der Bericht für 2024 enthält Aufschlüsselung nach Branchen sowie eine Analyse der Schwachstellen
REDWOOD CITY, Kalifornien, 20. Juni 2024 /PRNewswire/ -- Synack, die führende Plattform für Sicherheitstests, hat heute ihren zweiten Jahresbericht „State of Vulnerabilities" veröffentlicht, der Hunderttausende Stunden von Penetrationstests und eine Analyse von über 14.000 ausnutzbaren Schwachstellen zusammenfasst, um einen klaren Überblick über Schweregrad, Umfang und Behebungstrends von Softwarefehlern in verschiedenen Branchen zu liefern.
„Um intelligente Sicherheits- und Geschäftsentscheidungen treffen zu können, ist es wichtig, die Angriffsfläche zu verstehen und zu wissen, wie sich eine erfolgreiche Ausnutzung von Schwachstellen auf Ihr Unternehmen auswirken könnte", so Jay Kaplan, CEO und Mitbegründer von Synack. „Wir sind stolz darauf, die zweite Jahresausgabe des State of Vulnerabilities Report von Synack zu veröffentlichen, um Unternehmen in den Bereichen Gesundheitswesen, Finanzdienstleistungen, Bundesbehörden, Technologie und Fertigung dabei zu helfen, besser zu verstehen, mit welchen Schwachstellen sie konfrontiert sind und wie sie den Angreifern einen Schritt voraus sein können. Wir sehen viele Gründe, optimistisch zu sein, aber das bedeutet nicht, dass die Bedrohung abnimmt."
Schwachstellen mit kritischem Schweregrad nehmen zu – Verbesserungen bei den Behebungszeiten
Das Synack Red Team (SRT), eine Community der weltweit vertrauenswürdigsten und erfahrensten ethischen Hacker, hat herausgefunden, dass in allen Branchen der Anteil von Schwachstellen mit kritischem Schweregrad im Jahr 2023 höher liegt als im Jahr 2022, während der Anteil der Schwachstellen von hohem Schweregrad leicht zurückgeht. Trotz des zunehmenden Drucks auf die Sicherheitsteams konnten die Unternehmen die durchschnittliche Zeit bis zur Behebung von Schwachstellen mit kritischem Schweregrad um 24 Tage und von Schwachstellen mit hohem Schweregrad um 18 Tage auf 56 bzw. 74 Tage verkürzen.
Der Bericht stellt jedoch fest, dass dieselben Kategorien von Schwachstellen Jahr für Jahr fortbestehen. Dies deutet auf eine zunehmende Bedrohung durch Einschleusung (Injection) hin, die in einem kürzlich von der Agentur für Cybersicherheit und Infrastruktursicherheit veröffentlichten Secure by Design Alert hervorgehoben wurden. Sowohl im Gesundheitswesen als auch im Technologiesektor war eine Zunahme von SQL-Injections zu verzeichnen. Auf diese Schwachstellen einschließlich XSS entfiel etwa ein Drittel aller von Synack im Jahr 2023 entdeckten Schwachstellen.
Aufschlüsselung nach Branchen
Der Bericht von Synack zeigt die wichtigsten Ergebnisse für die kritischsten Schwachstellen und die Zeit bis zur Behebung in den Bereichen Gesundheitswesen, Finanzdienstleistungen, Bundesbehörden, Technologie und Fertigung.
Bei der Betrachtung der fünf Branchen wurden folgende wichtige Trends festgestellt:
- Im Durchschnitt waren bei den Unternehmen im Gesundheitssektor mehr als 5.400 Subdomains, 1.500 Webanwendungen und 1.400 IP-Adressen öffentlich zugänglich – die größte Angriffsfläche aller untersuchten Branchen.
- Bei fast 1.900 der gefundenen Schwachstellen handelte es sich um SQL-Injections, die als kritisch oder hochgradig gefährlich eingestuft wurden.
- Injection-Schwachstellen verstärkten die Schwächen in den einzelnen Branchen. Im Durchschnitt benötigten Finanzdienstleister 53 Tage für die Behebung von SQL-Injection-Schwachstellen, Technologieunternehmen 57 Tage und Unternehmen des Gesundheitswesens nur 45 Tage.
Der Bericht stützt sich auf Daten aus Sicherheitsbewertungen, die bei Synacks weltweitem Kundenstamm durchgeführt wurden, und stimmt mit den Schwachstellenkategorien im OWASP Top 10 Standard Awareness-Dokument überein. Die mehr als 1.500 Mitglieder des SRT haben im vergangenen Jahr insgesamt mehr als 27.000 Tage mit dem Testen von Synack-Kundenressourcen verbracht, darunter Cloud, API (Application Programming Interface), KI-LLM (Large Language Model), Webanwendungen, Host-Infrastruktur und mobile Angriffsflächen.
Den vollständigen Bericht finden Sie im Internet: https://go.synack.com/state-of-vulnerabilities-2024
Informationen zu Synack
Die führende Plattform für Sicherheitstests von Synack nutzt eine talentierte, bewährte Community von Sicherheitsexperten und intelligente Technologien, um kontinuierliche Penetrationstests und Schwachstellenmanagement mit umsetzbaren Ergebnissen zu liefern. Wir setzen uns dafür ein, die Welt sicherer zu machen, indem wir die Fähigkeitslücke im Bereich der Cybersicherheit schließen und Unternehmen einen On-Demand-Zugang zu den vertrauenswürdigsten Sicherheitsexperten der Welt verschaffen. Mit Hauptsitz im Silicon Valley und regionalen Teams auf der ganzen Welt schützt Synack eine wachsende Liste von Global-2000-Kunden und US-Behörden in einer FedRAMP-zugelassenen Umgebung. Der umfassende Ansatz von Synack für Pentesting as a Service (PTaaS) hat allein im Jahr 2023 mehr als 14.000 ausnutzbare Schwachstellen aufgedeckt. Weitere Informationen finden Sie unter www.synack.com.
Logo - https://mma.prnewswire.com/media/838158/Synack_Logo_v2.jpg
Share this article