Etickí hackeri varujú: priemerne šesť zraniteľností v každom projekte!

Spoločnosť Citadelo zverejnila Správu z etického hackingu za rok 2024 (Ethical Hacking Report 2024). Správa vznikla na základe testov, ktoré realizovali v európskom priestore certifikovaní bezpečnostní experti prostredníctvom simulovaných útokov s cieľom preventívne identifikovať zraniteľnosti.

V roku 2024 „hackli“ tímy Citadelo takmer päťsto projektov a našli vyše 2800 zraniteľností rôznych typov. Aj keď väčšinu zraniteľností tvorili menej závažné chyby, 132 kritických zraniteľností mohlo mať katastrofálne následky, keby neboli okamžite odstránené.

„V priebehu rokov sme realizovali už tisíce bezpečnostných posúdení a penetračných testov v celom svete. Vďaka skúsenostiam a rozsiahlej vzorke analyzovaných projektov sme získali jedinečný pohľad na súčasný stav kybernetickej bezpečnosti,“ hovorí Tomáš Zaťko, riaditeľ spoločnosti Citadelo.

Kritické zraniteľnosti predstavujú okamžité a potenciálne katastrofálne technické riziká. Škála pokračuje označeniami vysoké, stredné a nízke zraniteľnosti až po odchýlky od osvedčených postupov označené ako upozornenie.

Priemerný počet v jednom testovanom projekte bol šesť zraniteľností. Takmer polovica testovaných projektov obsahovala aspoň jednu zraniteľnosť vysokej alebo kritickej závažnosti. Zraniteľnosti strednej závažnosti identifikovali približne v 95 percentách testovaných projektov.

Viac ako polovicu (53%) bezpečnostných testov v roku 2024 podstúpili webové projekty. Ďalej sa testovali API rozhrania (10%), infraštruktúra (8%), mobilné aplikácie a cloud zhodne po sedem percent. Tomáš Zaťko tu však poukazuje na to, že webové aplikácie zároveň vykazujú najvyšší počet zraniteľností v porovnaní s inými typmi projektov.

O penetračné testovanie a bezpečnostné audity má už tradične najvyšší záujem finančný  sektor, čo potvrdil aj podiel 58 percent hodnotených projektov. Na druhú pozíciu v roku 2024 sa dostali systémoví integrátori (9% projektov), nasledoval vývoj softvéru, telekomunikácie, priemysel a energetika, podnikanie s kryptomenou, online hry, elektronický obchod, zdravotníctvo a ďalšie.

V roku 2024 realizovala spoločnosť Citadelo aj bezpečnostné hodnotenia štyroch systémov postavených na veľkých jazykových modeloch. Umelá inteligencia prináša revolúciu v spracovaní prirodzeného jazyka, no zároveň sa tak otvárajú nové vektory útokov. Z pohľadu etického hackingu a tak aj útočníka, sa objavilo pri testoch niekoľko kritických zraniteľností a bezpečnostných hrozieb.

Význam penetračných testov a ďalších praktík ofenzívnej bezpečnosti spočíva v tom, že poskytujú transparentný obraz o stave kyberbezpečnosti organizácie. S rastúcim počtom kybernetických útokov a ich sofistikovanosťou sa bude význam bezpečnostného testovania stále zvyšovať.

Úplná verzia Správy o etickom hackingu 2024 na stiahnutie