Eén derde van applicaties niet veilig en mogelijk toegankelijk voor kwaadwillenden
‘Staat van Applicatiebeveiliging 2024’ laat zien dat aandacht voor software security ondanks grote risico’s tekortschiet
De beveiliging van (online) applicaties is nog steeds geen topprioriteit voor organisaties in Nederland. Dit blijkt uit onderzoek van cybersecurity-specialist Computest Security. Ethische hackers van het bedrijf hebben bij 30 procent van de applicaties die zij hebben getest zelfs kritieke kwetsbaarheden geconstateerd die directe aandacht vereisen, omdat deze een groot risico vormen voor de beveiliging, data privacy of bedrijfscontinuïteit van organisaties. Ook vonden zij in bijna een derde van de onderzochte applicaties kwetsbaarheden in het autorisatiemechanisme waardoor kwaadwillenden hier mogelijk toegang tot kunnen krijgen. De meest voorkomende oorzaken van de kwetsbaarheden zijn het gebruik van verouderde software die niet meer wordt ondersteund, het niet uitvoeren van updates en het ontbreken van multifactorauthenticatie.
Voor het onderzoek ‘De Staat van Applicatiebeveiliging’ van Computest Security zijn de resultaten van ruim 300 security-testen die gedurende een jaar zijn uitgevoerd op applicaties van verschillende organisaties, geanalyseerd. Hiermee ontstaat een beeld van de belangrijkste risico’s rond de veiligheid van applicaties. Uit de geanonimiseerde analyse blijkt dat een applicatie gemiddeld twaalf kwetsbaarheden bevat. Hiervan is naar de maatstaven van de internationaal erkende CVSS-scoringsmethodiek bijna een derde een belangrijke of zelfs kritieke kwetsbaarheid. Deze kwetsbaarheden kunnen grote impact hebben op organisaties en moeten idealiter direct worden opgelost.
Situatie in praktijk nog slechter
“Het is belangrijk om bij de onderzoeksresultaten aan te merken dat de daadwerkelijke staat van applicatiebeveiliging in de praktijk mogelijk slechter zal zijn. De organisaties die zijn meegenomen in het geanonimiseerde onderzoek hebben ons proactief gevraagd om een security-test en hebben daarmee al aandacht voor het periodiek uitvoeren hiervan”, zegt Dennis de Hoog, CEO van Computest Security. “Daarom vormen de resultaten niet noodzakelijk een afspiegeling van het gemiddelde niveau van applicatieveiligheid en verwachten wij dat de situatie in de praktijk slechter is dan de cijfers in ons rapport laten zien.”
Opvallend was dat bij 32 procent van de testen één van de meest kritische kwetsbaarheden werd gevonden: cross-site scripting (XSS). Hierbij kan de aanvaller kwaadaardige code injecteren in de applicatie die vervolgens wordt uitgevoerd zodra iemand de applicatie gebruikt. Op deze manier kan gevoelige data worden gestolen of kunnen gebruikers ongemerkt worden doorgestuurd naar een malafide website. Voor deze kwetsbaarheid gold dat deze in bijna 60 procent van de gevallen zelfs misbruikt kon worden zonder een account voor de applicatie te hebben.
Kwetsbaarheden in autorisatie en authenticatie
De ethische hackers vonden bij bijna 30 procent van de applicaties kwetsbaarheden in het autorisatiemechanisme. Dit betekent dat niet op de juiste wijze wordt gecontroleerd of de ingelogde medewerker het recht heeft de gevraagde functionaliteit te gebruiken. Bij één op de tien testen bleek het zelfs mogelijk om beheertaken uit te voeren vanuit een normale gebruiker. Hiermee zou de aanvaller in bepaalde gevallen de volledige applicatie kunnen overnemen. Verder liet bij 34 procent van de geteste applicaties de security van de authenticatie te wensen over. Bij 19 procent van de applicaties werd bovendien nog geen gebruikgemaakt van multifactorauthenticatie (MFA) of was dit niet juist geïmplementeerd. Dit maakt het voor een aanvaller makkelijker om via gestolen gegevens toegang te krijgen.
Verouderde software van derden
De grootste oorzaken van kwetsbaarheden zijn het gebruik van verouderde software, het niet doorvoeren van de benodigde updates en het ontbreken van sterke authenticatie-oplossingen. Ook het gebruik van componenten van derde partijen vormt een groot risico. Zo vonden de ethische hackers van Computest Security in bijna 70 procent van de testen kwetsbaarheden in dergelijke componenten. Daarbij werd bij 39 procent van de testen bovendien geconstateerd dat de betreffende software helemaal niet meer wordt ondersteund met security-updates.
Maatregelen om risico’s te verkleinen
Het volledig voorkomen van kwetsbaarheden is lastig, maar organisaties kunnen met de juiste maatregelen wel de risico’s verkleinen. Dit begint aan de basis bij het ontwikkelen of aankopen van software. Zijn deze ontworpen volgens het ‘secure by design-principe’? Door deze principes mee te nemen bij het aankopen, ontwikkelen en integreren van software kan het risico op kwetsbaarheden worden verkleind. Als de software in gebruik is genomen, is het raadzaam deze regelmatig te testen. Zo is de kans groter dat niet alleen kwetsbaarheden die er vanaf het ontwerp al inzitten te ontdekken, maar ook nieuwe kwetsbaarheden tijdig te signaleren. Verder is het essentieel sterkte authenticatietools en een updatebeleid te hebben waarbij updates direct worden geïnstalleerd zodra deze worden aangeboden.
“Hoewel we dagelijks in het nieuws geconfronteerd worden met de risico’s van cyberbedreigingen, zien we dat er nog te weinig actie wordt ondernomen”, aldus De Hoog. “De maatregelen die kunnen worden genomen zijn over het algemeen geen rocket science, maar staan niet hoog op de agenda. Bovendien krijgen applicaties vaak minder aandacht dan interne- of cloud-netwerken. Dit terwijl applicaties net zo goed onderdeel uitmaken van het aanvalsoppervlak. Zolang organisaties niet getroffen worden door een security-incident is er weinig aandacht voor. Zodra er echter wel een incident plaatsvindt, is meteen de impact duidelijk. Niet alleen voor de organisatie zelf, maar ook voor de gebruikers van de applicatie en soms ook derden. Denk aan het misbruiken van data uit applicaties voor criminele doeleinden. Dit heeft doorgaans grote gevolgen voor het bedrijf en de direct en indirect betrokkenen. Daarmee werkt een incident door in de hele keten.”
———————–
Een samenvatting en een technische onderbouwing van de bevindingen van het onderzoek ‘De Staat van Applicatiebeveiliging’, zijn aan te vragen via computest@tytopr.com.
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.