Financiële dienstverleners lossen de meeste kwetsbaarheden in software op

Financiële dienstverleners zijn het beste in staat softwarekwetsbaarheden te verhelpen. De branche loopt voor op andere branches in het opspeuren van kwetsbaarheden in open source-componenten. Het verhelpen van open source-kwetsbaarheden is essentieel, omdat het attack surface van applicaties veel groter is dan veel ontwikkelaars denken wanneer open source libraries indirect worden toegevoegd.

Dit blijkt uit het Veracodes State of Software Security Volume 11 van Veracode, leverancier van oplossingen voor application security testing (AST). 130.000 applicaties van 2.500 bedrijven zijn geanalyseerd. Het onderzoek toont aan dat financiële dienstverleners het kleinste deel van applicaties met kwetsbaarheden in gebruik hebben, en de op één na laagste hoeveelheid ernstige kwetsbaarheden (waarin de maakindustrie vooroploopt). Ook wordt, vergeleken met andere branches, met 75% het hoogste percentage kwetsbaarheden verholpen.

Veel tijd nodig

Tegelijkertijd blijkt uit het onderzoek ook dat financiële dienstverleners ongeveer zesenhalve maand nodig hebben om 50% van de gevonden kwetsbaarheden op te lossen. Dit duidt op een trager herstelproces vergeleken met andere branches.

“Het kost financiële dienstverleners gemiddeld meer dan zes maanden om openstaande kwetsbaarheden te halveren, ondanks dat ze uit alle branches het snelst kwetsbaarheden verhelpen”, zegt Chris Wysopal, Chief Technology Officer bij Veracode. “Maar ontwikkelaars binnen deze branche worden vaak beperkt door hun werkomgeving. Applicaties zijn doorgaans ouder, hebben een gemiddelde hoeveelheid kwetsbaarheden en werken niet zo consistent met een DevSecOps-aanpak dan wat je ziet bij andere branches. Met aanvullende training en door vast te houden aan best practices kunnen zij sneller problemen oplossen en eerder beginnen met het verminderen van de security debt.”

Andere resultaten

Het onderzoek van Veracode wijst uit dat bepaalde DevSecOps-werkwijzen de software security aanzienlijk kunnen verbeteren. Uit het onderzoek blijkt bovendien dat financiële dienstverleners:

• Vooroplopen in het verhelpen van kwetsbaarheden in hun open source software én het implementeren van een sterke regelmaat in het laten uitvoeren van analyses;
• In de middenmoot eindigen als het aankomt op scanfrequentie en de integratie van security tests;
• Gemiddeld geen gebruik maken van Dynamic Analysis (DAST) scantechnologieën om kwetsbaarheden op te sporen;
• Bovengemiddeld presteren vergeleken met alle andere branches in het verhelpen van kwetsbaarheden omtrent cryptografie, input-validatie, Cross-Site Scripting en het beheer van inloggegevens – allemaal zaken die te maken hebben met de bescherming van de eindgebruikers van financiële applicaties.

Meer informatie over veelvoorkomende kwetsbaarheden en andere inzichten is beschikbaar in het State of Software Security Volume 11 van Veracode of de SOSS 11 Financial Infosheet. 

Tags

Misschien ben je ook geinteresseerd in een van de andere artikelen over Security

• 05-04-2023

  Betere gebruikerservaring is nodig om talent te behouden
• 05-04-2023

  Groeiende interesse vanuit cybercriminelen in ChatGPT
• 05-04-2023

  Western Digital onderzoekt securityincident
• 04-04-2023

  Marktonderzoeker Blauw en softwarebedrijf Nebu voor de rechter voor kort geding
• 04-04-2023

  Veiligheidsstrategie is aangeboden aan Tweede Kamer
• 04-04-2023

  Cyberinbraak ICT-netwerk op de KNVB Campus
• 04-04-2023

  Inhaalslag cybersecurity awareness binnen bedrijven
• 04-04-2023

  Jason Weissbein CISO en General Counsel bij GNX
• 04-04-2023

  CyberArk komt met volwassenheidsmodel voor identity security
• 03-04-2023

  Microsoft lost foute autorisatie configuratie op