Onderzoek van Veracode brengt escalerende beveiligingsschuld van de financiële sector aan het licht
State of Software Security-report stelt vast dat de helft van de financiële organisaties met zeer ernstige beveiligingsgebreken in hun apps te kampen heeft
BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een internationale leider op gebied van applicatierisicobeheer, publiceerde vandaag nieuw onderzoek dat licht werpt op de status van de softwarebeveiligingsschuld in de sector van financiële services. Beveiligingsschuld, voor deze report gedefinieerd als gebreken die langer dan een jaar onopgelost blijven, is een bestaand feit bij 76 procent van de organisaties in de sector van financiële services, waarbij 50 procent met kritieke beveiligingsschuld heeft af te rekenen.
Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20241029484878/nl/
Figure 1: Prevalence of security debt in the financial sector (Graphic: Business Wire)
Met een gemiddelde kostprijs voor gegevensinbreuken in de financiële sector geraamd op $6,08 miljoen1, komt het onderzoek op een kritiek moment voor een van de sectoren die het meest als doelwit wordt genomen door plegers van gesofisticeerde bedreigingen. Volgens een U.S. Treasury Department-report van maart 2024, maken plegers van bedreigingen gebruik van op AI gebaseerde tools om kwetsbaarheden in software te vinden en die op ongekende schaal te benutten. Tegelijk nopen stijgende concurrentie in de sector en verwachtingen van klanten wat gebruiksgemak betreft organisaties tot het versnellen van innovatie.
“Het grote percentage beveiligingsschuld in de financiële sector stelt aanzienlijke risico’s voor organisaties en hun klanten als dit probleem niet snel wordt aangepakt. Nu door AI aangestuurde cyberaanvallen steeds krachtiger en talrijker worden, en organisaties moeite hebben om de evoluerende regelgeving bij te houden wegens een bestaande beveiligingsschuld, zorgt het huidige landschap ervoor dat plegers van bedreigingen kwetsbaarheden aan een alarmerend, nooit eerder gezien tempo kunnen uitbuiten,” aldus Chris Wysopal, Chief Security Evangelist van Veracode. “Ons recente State of Software-onderzoek wijst op de kritieke behoefte bij financiële instellingen om codekwetsbaarheden van eerste partijen maar ook van derden meteen aan te pakken. Organisaties die gebreken langer dan een jaar laten aanslepen, zijn aan langdurige en gevaarlijke bedreigingen blootgesteld.”
Het oplossen van gebreken uitstellen bedreigt de beveiliging van de financiële sector
Onderzoekers van Veracode stelden vast dat 40 procent van alle applicaties in de financiële sector een beveiligingsschuld hebben, wat net iets beter is dan het sectoroverkoepelende gemiddelde van 42 procent. Verder is amper 5,5 procent van de applicaties in de financiële sector vrij van gebreken, in vergelijking met 5,9 procent in andere sectoren. Terwijl net iets minder applicaties van de financiële sector een beveiligingsschuld hebben, accumuleren zij er meer.
De report benadrukt ook de behoefte voor organisaties die financiële services aanbieden om de beveiligingsschuld zowel in codes van eerste partijen als van derden aan te pakken. Achtenveertig procent van alle beveiligingsschuld heeft betrekking op codes van eerste partijen, maar de meerderheid (78,6 procent) van kritieke beveiligingsschuld is te wijten aan afhankelijkheden van derden. Dit versterkt het belang van de inspanningen van de Cybersecurity & Infrastructure Security Agency om te helpen het open-source ecosysteem te beveiligen met haar Open Source Software Security Roadmap en Secure by Design Pledge.
Verder verkent de analyse tijdlijnen voor oplossingen in de sector van financiële services. De onderzoekers stelden vast dat financiële organisaties de helft van gebreken bij eerste partijen in de eerste negen maanden oplossen, in vergelijking met 13 maanden voor gebreken van derden. Hiervan worden 52 procent van de gebreken van derden uiteindelijk een beveiligingsschuld, terwijl 44 procent van de gebreken van eerste partijen een beveiligingsschuld worden.
Het belang van prioriteitenbepaling bij het remediëren van risico’s
De wildgroei van aanvallen van toeleveringsketens die gericht zijn op de sector van financiële services zorgde voor een groeiend aantal cyberbeveiligingsregels met een scherpere focus op softwarebeveiliging. Zo eisen bijvoorbeeld regelgevende kaders zoals de ISO 20022, de Payment Card Industry Data Security Standard (PCI DSS), NIS2 en de Digital Operational Resilience Act (DORA) dat organisaties moeten voorkomen dat kwetsbaarheden in applicaties worden ontplooid.
Dit stelt organisaties bloot aan een risico van non-conformiteit wegens een bestaande beveiligingsschuld en voorbijgestreefde remidiëringsstrategieën. Het onderzoek van Veracode onthult dat organisaties dit risico kunnen verhelpen door prioriteit te geven aan de 3,3% gebreken die een kritieke beveiligingsschuld vormen. Door de gevaarlijkste gebreken het eerst aan te pakken, kunnen financiële entiteiten vervolgens stappen ondernemen om andere kritieke gebreken of niet-kritieke schuld aan te pakken, in functie van hun risicotolerantie en capaciteiten op dat vlak.
De rol van Application Security Posture Management
Door de grotere behoefte aan prioriteitbepaling van risico’s ontstaat een aanzienlijke vraag naar ASPM (Application Security Posture Management) om risico’s voortdurend te traceren via het verzamelen, de zichtbaarheid en de analyse van beveiligingsproblemen tijdens de cyclus van softwareontwikkeling. Het Application Risk Management Platform van Veracode biedt een omvattend, eengemaakt zicht op risico’s in codes en applicaties, zodat ontwikkelaars en beveiligingsteams problemen snel kunnen oplossen. Met Veracode Fix, de door AI aangestuurde oplossing, kunnen teams proactief nieuwe kwetsbaarheden voorkomen en bestaande beveiligingsbacklogs doeltreffend verminderen. De contextuele analyse van het platform ontbloot onderliggende oorzaken en begeleidt ontwikkelaars op die manier naar optimale volgende stappen die de beperking van risico’s met een minimale inspanning maximaliseert.
Wysopal besluit: “Voor de sector van financiële services was het nog nooit zo belangrijk om de evoluerende bedreigingen van cyberbeveiliging voor te blijven, in het bijzonder nu steeds meer gesofisticeerde, door AI aangestuurde aanvallen de beveiliging van hun activa bedreigen. Ik dring er bij de financiële instellingen op aan om tijdig prioriteit te geven aan het beperken van hun beveiligingsschuld door beroep te doen op door AI aangestuurde remediëring en ASPM-tools die kwetsbaaheden in luttele seconden kunnen detecteren, er een prioriteit van maken en ze doeltreffend oplossen.”
De State of Software Security Financial Services 2024-report van Veracode is beschikbaar en kan worden gelezen op de website van Veracode.
1 IBM, “Cost of a Data Breach Report 2024”, IBM en Ponemon Institute, 30 juli 2024
Over de State of Software Security-report
De State of Software Security 2024-report van Veracode analyseerde gegevens van grote en kleine ondernemingen, commerciële softwareleveranciers, software-outsourcers en open-source projecten. Het onderzoek is gebaseerd op meer dan een miljoen (1.007.133) applicaties binnen alle scantypes, 1.553.022 dynamische analysescans en 11.429.365 statische analysescans. Al die scans leverden 96 miljoen onbewerkte statische bevindingen op, 4 miljoen onbewerkte dynamische bevindingen en 12,2 miljoen onbewerkte softwarecompositieanalysebevindingen.
Over Veracode
Veracode is een wereldleider op gebied van Application Risk Management voor het AI-tijdperk. Het platform van Veracode, gebaseerd op biljoenen scans van coderegels en een eigen engine voor remediëring die door AI is ondersteund, wordt vertrouwd door organisaties van over de hele wereld om veilige software te ontwikkelen en te onderhouden, van de creatie van codes tot ontplooiing in de cloud. Duizenden van ‘s werelds meest toonaangevende ontwikkelings- en beveiligingsteams maken elke seconde van elke dag gebruik van Veracode om nauwkeurige, bruikbare zichtbaarheid van exploiteerbare risico’s te krijgen, remediëring van kwetsbaarheden in realtime tot stand te brengen en hun beveiligingsschuld op schaal te beperken. Veracode is een bedrijf dat verschillende awards werd toegekend en capaciteiten aanbiedt om de hele levenscyclus van softwareontwikkeling te beveiligen, zoals Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management en Penetration Testing.
Meer informatie op www.veracode.com, op het Veracode blog en op LinkedIn en X.
Copyright © 2024 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk geregistreerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectieve houders. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectievelijke eigenaren.
Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.
Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20241029484878/nl/
Contacts
Voor meer informatie neemt u contact op met:
Katy Gwilliam
kgwilliam@veracode.com