Financiële dienstverleners lossen meeste kwetsbaarheden op, maar hebben veel tijd nodig

10-12-2020 | door: Wouter Hoeffnagel

Financiële dienstverleners lossen meeste kwetsbaarheden op, maar hebben veel tijd nodig

Financiële dienstverleners zijn het beste in staat softwarekwetsbaarheden te verhelpen. De branche loopt voor op andere branches in het opspeuren van kwetsbaarheden in open source-componenten. Het verhelpen van open source-kwetsbaarheden is essentieel, omdat het attack surface van applicaties veel groter is dan veel ontwikkelaars denken wanneer open source libraries indirect worden toegevoegd.

Dit blijkt uit het Veracodes State of Software Security Volume 11 van Veracode, leverancier van oplossingen voor application security testing (AST). 130.000 applicaties van 2.500 bedrijven zijn geanalyseerd. Het onderzoek toont aan dat financiële dienstverleners het kleinste deel van applicaties met kwetsbaarheden in gebruik hebben, en de op één na laagste hoeveelheid ernstige kwetsbaarheden (waarin de maakindustrie vooroploopt). Ook wordt, vergeleken met andere branches, met 75% het hoogste percentage kwetsbaarheden verholpen.

Veel tijd nodig

Tegelijkertijd blijkt uit het onderzoek ook dat financiële dienstverleners ongeveer zesenhalve maand nodig hebben om 50% van de gevonden kwetsbaarheden op te lossen. Dit duidt op een trager herstelproces vergeleken met andere branches.

“Het kost financiële dienstverleners gemiddeld meer dan zes maanden om openstaande kwetsbaarheden te halveren, ondanks dat ze uit alle branches het snelst kwetsbaarheden verhelpen”, zegt Chris Wysopal, Chief Technology Officer bij Veracode. “Maar ontwikkelaars binnen deze branche worden vaak beperkt door hun werkomgeving. Applicaties zijn doorgaans ouder, hebben een gemiddelde hoeveelheid kwetsbaarheden en werken niet zo consistent met een DevSecOps-aanpak dan wat je ziet bij andere branches. Met aanvullende training en door vast te houden aan best practices kunnen zij sneller problemen oplossen en eerder beginnen met het verminderen van de security debt.”

Andere resultaten

Het onderzoek van Veracode wijst uit dat bepaalde DevSecOps-werkwijzen de software security aanzienlijk kunnen verbeteren. Uit het onderzoek blijkt bovendien dat financiële dienstverleners:

  • Vooroplopen in het verhelpen van kwetsbaarheden in hun open source software én het implementeren van een sterke regelmaat in het laten uitvoeren van analyses;
  • In de middenmoot eindigen als het aankomt op scanfrequentie en de integratie van security tests;
  • Gemiddeld geen gebruik maken van Dynamic Analysis (DAST) scantechnologieën om kwetsbaarheden op te sporen;
  • Bovengemiddeld presteren vergeleken met alle andere branches in het verhelpen van kwetsbaarheden omtrent cryptografie, input-validatie, Cross-Site Scripting en het beheer van inloggegevens – allemaal zaken die te maken hebben met de bescherming van de eindgebruikers van financiële applicaties.

Meer informatie over veelvoorkomende kwetsbaarheden en andere inzichten is beschikbaar in het State of Software Security Volume 11 van Veracode of de SOSS 11 Financial Infosheet

Terug naar nieuws overzicht
Security