0
0
As aplicações desenvolvidas por organizações na Europa, Médio Oriente e África tendem a conter mais falhas de segurança do que as criadas pelos seus homólogos dos EUA, de acordo com a Veracode.
Em todas as regiões analisadas, a EMEA também apresenta a maior percentagem de falhas de “alta gravidade”, o que significa que causariam um problema crítico para o negócio se fossem exploradas. Um elevado número de falhas e vulnerabilidades em aplicações está correlacionado com níveis crescentes de risco, o que é particularmente notável à medida que os ataques cibernéticos à cadeia de fornecimento de software dominam as manchetes em 2023.
Vulnerabilidades alarmantes de aplicativos em todo o mundo
Os investigadores descobriram que pouco mais de 80% das aplicações desenvolvidas pelas organizações EMEA tiveram pelo menos uma falha de segurança detectada na sua verificação mais recente nos últimos 12 meses, em comparação com pouco menos de 73% das organizações dos EUA. Além disso, a percentagem de aplicações contendo falhas de “alta gravidade” foi a mais elevada de todas as regiões, com quase 20%.
“Nossos dados mostram que as organizações em todo o mundo continuam a implantar um número preocupante de aplicativos com um grande número de falhas no CWE Top 25”, disse Chris Eng , diretor de pesquisa da Veracode. “No entanto, identificamos diferenças regionais interessantes, especialmente em termos de uso de código de terceiros ou de código-fonte aberto e as maneiras pelas quais as vulnerabilidades são introduzidas ao longo do ciclo de vida do aplicativo”, continuou ele.
Os números por si só não transmitem as consequências da exploração de vulnerabilidades de software por hackers. Com as organizações em toda a EMEA a utilizar uma combinação cada vez mais complexa de software de terceiros para fornecer os seus serviços, a exploração de uma vulnerabilidade grave pode afetar milhares de vítimas ao mesmo tempo.
No início deste ano, uma vulnerabilidade que afeta as ferramentas de software de impressão PaperCut MF e PaperCut NG foi ativamente explorada por agentes de ameaças. Até 70.000 organizações em 200 países tornaram-se vítimas potenciais, e os relatórios de aplicação da lei revelaram que os agentes da ameaça comprometeram com sucesso entidades vulneráveis no sector da educação.
IA generativa aumenta risco de vulnerabilidade
A pesquisa identificou diferenças regionais notáveis no uso de linguagem preferencial, com Java revelando ser a linguagem preferida para desenvolvedores na EMEA. Descobriu-se que as equipes que usam Java corrigem falhas em um ritmo mais lento do que aquelas que usam .NET ou JavaScript, fazendo com que muitas dessas falhas persistam ou permaneçam desconhecidas por muito mais tempo.
Além disso, como mais de 95% dos aplicativos Java são compostos por código de terceiros ou de código-fonte aberto, o uso de Java é um fator-chave na maior porcentagem de vulnerabilidades introduzidas em aplicativos na região. Isto destaca a importância da análise de composição de software (SCA), que detecta falhas no código-fonte aberto, e a pesquisa encontrou uma proporção maior de falhas relatadas pela SCA na EMEA do que em outras regiões.
À medida que a IA generativa continua a ganhar forte força no desenvolvimento de software, o risco de vulnerabilidades de fontes externas aumenta. Um estudo, apresentado na Black Hat em 2022, mostrou vulnerabilidades em 40% do código que foi escrito por grandes modelos de linguagem treinados em grandes quantidades de dados não refinados, incluindo milhões de repositórios públicos do GitHub.
Portanto, é vital que as organizações aproveitem as ferramentas SCA para encontrar e corrigir falhas, capacitando os desenvolvedores a aproveitar as vantagens da IA sem comprometer a segurança dos aplicativos.
Aplicativos EMEA apresentam taxas de falhas mais altas
A investigação também mostrou que novas falhas continuam a ser introduzidas nas aplicações EMEA a uma taxa muito mais elevada ao longo de todo o ciclo de vida da aplicação do que noutras regiões. Embora as organizações da EMEA continuem atualizando os aplicativos, houve menos foco na qualidade.
Após um período de cinco anos, 50% dos pedidos na EMEA continuam a introduzir novas falhas, em comparação com pouco mais de 30% no resto do mundo. No geral, a chance básica de que uma falha seja introduzida em qualquer mês foi de 27%.
Como tal, as organizações da EMEA beneficiariam se prestassem mais atenção à última parte do ciclo de vida das aplicações e verificassem as aplicações com mais regularidade. Eles também devem priorizar o treinamento em segurança para desenvolvedores , com a pesquisa concluindo que a conclusão de 10 laboratórios de segurança interativos reduz a probabilidade de introdução de falhas de 27% para cerca de 25% em qualquer mês.
“O relatório deste ano destaca a importância da segurança em todo o ciclo de vida do software, bem como a necessidade urgente de abordar os riscos representados por códigos de terceiros e gerados por IA”, acrescentou Eng. “Embora ainda estejamos a assistir a um volume preocupante de vulnerabilidades em todo o mundo, estes números são mais elevados na EMEA em quase todas as medições. As equipes de desenvolvimento nesta região devem aproveitar a oportunidade para automatizar a segurança do software para verificação regular e considerar cuidadosamente o uso de ferramentas de IA, tanto para aumentar a segurança quanto para capacitar os desenvolvedores.”
FONTE: HELP NET SECURITY