Az ImmuniWeb vizsgálata mindössze 3 meghatározó pénzintézetnél nem talált említésre méltó alkalmazásbiztonsági vagy megfelelőségi problémákat.

Az ImmuniWeb az azonos márkanevű, mesterséges intelligenciára épülő eszközökkel kutatja a webes alkalmazások biztonsági hibáit. Az eredetileg behatolás-teszteléssel kapcsolatos szolgáltatások működtetője, svájci High-Tech Bridge 2015 óta már kilenc egymáshoz kapcsolódó terméket vezetett be az ImmuniWeb AI alapjain, és olyan mobil alkalmazásbiztonsági ökoszisztémát kínál a különböző méretű szervezeteknek, amely a biztonsági tesztek mellett a kockázatok súlyozására is alkalmas.

A cég nemrég közzétett kutatása az alkalmazásbiztonságról szólva rögtön a Forrester előrejelzését idézi, amely szerint 2023-ra a piaci szegmens forgalma a 7 milliárd dollárt is meghaladhatja. Ehhez jön a Gartner értékelése, amelynek alapján a kiberbiztonsági területen a pénzügyi szektorhoz kapcsolódik a legtöbb költés; a mostani tanulmány is ebben a mezőnyben vizsgálta a legnagyobb szereplőket az S&P Global 2019-es listája alapján, sorra véve a biztonsági, adatvédelmi vagy megfelelőségi szempontokat is.

A tanulmány legfontosabb megállapítása, hogy a világ legjelentősebb pénzintézetei általánosságban kiábrándító eredményeket mutattak. Erre példa, hogy százból mindössze három szervezet ért el A+ besorolást az SSL titkosítást és a weboldalak biztonságát illetően: csak a Credit Suisse, a Danske Bank és a svéd Handelsbanken központi oldalain nem találtak semmilyen félrekonfigurált elemet. Ehhez képest hét olyan nagybankot is megjelöltek, amelynek alkalmazásaiban már korábban is ismert, publikus, kihasználható sérülékenységek vannak.

A fenti kategóriákban további 40 intézet kapott A-s minősítést, ami jelentéktelen hibákra és nem 100 százalékban kielégítő informatikai védelemre utal. 20 szervezet szerzett B-s besorolást, míg 31 kapott C-s osztályzatot – ez utóbbi már komoly sérülékenységeket és több esetben azonosított, komolyan félrekonfigurált funkciókat feltételez. Bár az egész mezőnyt nyilvánvalóan nem jellemzi, elég ijesztő, hogy az egyik helyen 2011 óta ismert biztonsági rést is találtak, ami ebben az iparágban a nem lézető zsé mínuszos minősítést érdemelné.

A GDPR csak hab a tortájukon

A mobil banki alkalmazások 55 százaléka fér hozzá különösen érzékeny adatokhoz, ezek az appok összesen 298 féle backend API-val kommunikálnak, hogy ilyen adatokat küldjenek vagy fogadjanak a megfelelő bankok rendszereiből. Az ImmuniWeb kifejezetten aggasztónak nevezi, hogy az összes megvizsgált mobil banki applikációban minimum alacsony kockázatú sebezhetőségeket találtak, de alig kevesebb, 92 százaléknyi program közepes besorolású sérülékenységet is tartalmazott, minden ötödik pedig súlyos hibákkal működik.

Az ImmuniWeb szerint különösen az aldoménekre jellemzők az elavult komponensek: ilyesmi az aktív használaton kívüli tartományok 100 százalékában felbukkan, de a négyötödös arány a külső szoftverek egyes kategóriáiban is simán kijön a megfelelő aldomainek között. Érdekesség, hogy az ImmuniWeb a vizsgálatok során 29 éppen zajló adathalász kampány nyomaira bukkant, amelyek közül a legkártékonyabbak az amerikai célpontok ellen irányultak.

A kutatás kitér rá, hogy mindezeket az eredményeket nem intruzív jellegű vizsgálatokkal hozták össze, így azt sürgetik, hogy a bőséges anyagi forrásokkal rendelkező pénzintézetek sürgősen vizsgálják felül és fejlesszék az alkalmazásbiztonságot érintő megközelítésüket. Ez egyébként a megfelelőségi kérdésekre is érvényes, ahol 85 banki alkalmazás bukott meg a GDPR-compliance teszten, 49 darab hasalt el a PCI DSS megfelelőségi vizsgálaton, és 25 olyan banki webes alkalmazást is találtak, amely nem élvezte semmilyen webalkalmazás-tűzfal (WAF) védelmét.

Az ImmuniWeb hivatalos blogján itt olvasható a kutatással kapcsolatos bejegyzés, amelyben számos egyéb szempont is megjelenik a hozzá tartozó sttatisztikákkal együtt.

Biztonság

Lepacsizott az Amazon a német versenyhivatallal, de máris jön az újabb ügy

Az online birodalom megússza a bírságot, és 30 napon belül megteszi a szükséges változtatásokat, amelyekre az év eleje óta zajló trösztellenes vizsgálat értelmében szükség lehet. Ugyanakkor az EU pont ma indított újabb, drágának ígérkező aktát.
 
Könnyen érthető, de fejlett védelmi megoldások nélkül nehezen elhárítható módszert követnek a bizalmas információk ellopására utazó kiberbűnözők.
A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.