De beveiliging van (online) applicaties is nog steeds geen topprioriteit voor organisaties in Nederland. Dit blijkt uit onderzoek van cybersecurity-specialist Computest Security. Ethische hackers van het bedrijf hebben bij 30 procent van de applicaties die zij hebben getest zelfs kritieke kwetsbaarheden geconstateerd. Die vereisen directe aandacht. Dit omdat deze een groot risico vormen voor de beveiliging. Of voor de data privacy of bedrijfscontinuïteit van organisaties.
Geen multifactorauthenticatie
Ook vonden zij in bijna een derde van de onderzochte applicaties kwetsbaarheden in het autorisatiemechanisme waardoor kwaadwillenden hier mogelijk toegang tot kunnen krijgen. De meest voorkomende oorzaken van de kwetsbaarheden zijn het gebruik van verouderde software die niet meer wordt ondersteund, het niet uitvoeren van updates en het ontbreken van multifactorauthenticatie.
Voor het onderzoek zijn de resultaten van ruim 300 security-testen die gedurende een jaar zijn uitgevoerd op applicaties van verschillende organisaties, geanalyseerd. Hiermee ontstaat een beeld van de belangrijkste risico’s rond de veiligheid van applicaties. Uit de geanonimiseerde analyse blijkt dat een applicatie gemiddeld twaalf kwetsbaarheden bevat. Hiervan is naar de maatstaven van de internationaal erkende CVSS-scoringsmethodiek bijna een derde een belangrijke of zelfs kritieke kwetsbaarheid. Deze kwetsbaarheden kunnen grote impact hebben op organisaties. Ze moeten idealiter direct worden opgelost.
Gevoelige data
Opvallend was dat bij 32 procent van de testen één van de meest kritische kwetsbaarheden werd gevonden. Namelijk cross-site scripting (XSS). Hierbij kan de aanvaller kwaadaardige code injecteren in de applicatie. En die vervolgens uitgevoerd zodra iemand de applicatie gebruikt. Op deze manier kan gevoelige data worden gestolen of kunnen gebruikers ongemerkt worden doorgestuurd naar een malafide website. Voor deze kwetsbaarheid gold dat deze in bijna 60 procent van de gevallen zelfs misbruikt kon worden zonder een account voor de applicatie te hebben.
Kwetsbaarheden in autorisatie en authenticatie
De ethische hackers vonden bij bijna 30 procent van de applicaties kwetsbaarheden in het autorisatiemechanisme. Dit betekent dat men niet op de juiste wijze controleert of de ingelogde medewerker het recht heeft de gevraagde functionaliteit te gebruiken. Bij één op de tien testen bleek het zelfs mogelijk om beheertaken uit te voeren vanuit een normale gebruiker.
Hiermee kan de aanvaller in bepaalde gevallen de volledige applicatie overnemen. Verder liet bij 34 procent van de geteste applicaties de security van de authenticatie te wensen over. Bij 19 procent van de applicaties werd bovendien nog geen gebruikgemaakt van multifactorauthenticatie (MFA) of was dit niet juist geïmplementeerd. Dit maakt het voor een aanvaller makkelijker om via gestolen gegevens toegang te krijgen.
Verouderde software van derden
De grootste oorzaken van kwetsbaarheden zijn het gebruik van verouderde software. Dit, naast het niet doorvoeren van de benodigde updates. En het ontbreken van sterke authenticatie-oplossingen. Ook het gebruik van componenten van derde partijen vormt een groot risico. Zo vonden de ethische hackers van Computest Security in bijna 70 procent van de testen kwetsbaarheden in dergelijke componenten. Daarbij constateerde men bij 39 procent van de testen bovendien dat men de betreffende software helemaal niet meer ondersteunt met security-updates.
Maatregelen om risico’s te verkleinen
Het volledig voorkomen van kwetsbaarheden is lastig. Maar organisaties kunnen met de juiste maatregelen wel de risico’s verkleinen. Dit begint aan de basis bij het ontwikkelen of aankopen van software. Zijn deze ontworpen volgens het ‘secure by design-principe’? Door deze principes mee te nemen bij het aankopen, ontwikkelen en integreren van software kan men het risico op kwetsbaarheden verkleinen. Als de software eenmaal draait, is het raadzaam deze regelmatig te testen.
Zo is de kans groter dat niet alleen kwetsbaarheden die er vanaf het ontwerp al inzitten te ontdekken, maar ook nieuwe kwetsbaarheden tijdig te signaleren. Verder is het essentieel sterkte authenticatietools en een updatebeleid te hebben waarbij updates direct worden geïnstalleerd zodra deze worden aangeboden.
