0
0
O número de vulnerabilidades de código aberto que Mend identificou e adicionou ao seu banco de dados de vulnerabilidades nos primeiros nove meses de 2022 foi 33% maior do que nos primeiros nove meses de 2021, refletindo tanto o crescimento no número de pacotes de código aberto publicados quanto a aceleração de vulnerabilidades . Como as empresas continuam dependendo fortemente de seus aplicativos para obter sucesso, essa ameaça crescente é uma preocupação crescente.
A amostragem representativa do relatório de janeiro a setembro de 2022 de aproximadamente 1.000 empresas norte-americanas descobriu que apenas 13% das vulnerabilidades vistas foram corrigidas, em comparação com 40% corrigidas por aquelas que usam as práticas recomendadas de segurança de aplicativos modernos.
Com o código-fonte aberto usado em 70% a 90% dos aplicativos atualmente, mais empresas estão se descobrindo vulneráveis a ataques à medida que os agentes de ameaças aproveitam a lacuna de remediação.
“Como a dívida de segurança continua a aumentar, é crucial encontrar uma maneira de priorizar as vulnerabilidades que representam o maior risco para evitar ser vítima de um ataque”, disse Jeffrey Martin , vice-presidente de gerenciamento de produtos da Mend. “O uso de ferramentas de correção que podem avaliar e priorizar as vulnerabilidades que podem impactar mais os sistemas é um elemento importante para o gerenciamento da dívida de segurança. No entanto, as organizações não devem apenas prestar atenção aos detalhes da gravidade, para garantir a priorização e correção eficazes, elas também precisam observar o contexto de exploração das falhas por conta própria e em conjunto com outras pessoas.”
Enquanto as empresas corrigem milhares de vulnerabilidades todos os meses, são necessárias práticas recomendadas de correção modernas para lidar com a onda contínua de novas vulnerabilidades detectadas para evitar um acúmulo crescente de vulnerabilidades.
O aumento nas vulnerabilidades de código aberto supera o crescimento estimado de 25% na quantidade de software de código aberto disponível. Com os aplicativos sendo a força vital da economia global, a varredura regular de segurança de aplicativos e o uso de ferramentas de priorização e correção são essenciais.
Ataques usando pacotes maliciosos também estão aumentando. Os dados do Mend mostram um aumento trimestral constante em pacotes maliciosos publicados, que saltaram 79 por cento do segundo trimestre para o terceiro trimestre de 2022. Pelo menos 10 pacotes maliciosos foram publicados todos os dias para gerenciadores de pacotes npm e rubygems. Além disso, mais pacotes hoje contêm telemetria, que permite a coleta de dados, e alguns agora são integrados a uma cadeia de suprimentos, como quando um conteúdo válido tem uma dependência contendo código malicioso.
“Embora a quantidade de pacotes maliciosos tenha aumentado, a sofisticação também está se recuperando lentamente. Estamos começando a ver técnicas de evasão intermediárias sobrepostas às evasões básicas”, disse Maciej Mensfeld , diretor de produto e gerente da Mend. “No jogo de gato e rato de segurança em andamento, sabemos que os agentes mal-intencionados estão sempre motivados a superar os obstáculos que podem encontrar. Para ficar à frente dos ataques, as empresas precisam garantir que estão aproveitando as ferramentas de segurança de aplicativos, principalmente aquelas que verificam pacotes maliciosos.”
FONTE: DARK READING