Cobalt, società sviluppatrice dell’omonima piattaforma Pentest as a Service (PtaaS), ha condiviso i risultati del quarto report annuale “The State of Pentesting: 2020”, che esplora lo stato della sicurezza delle applicazioni e che ha evidenziato uno spostamento, da parte delle organizzazioni, da DevOps a DevSecOps.
Il report include insight ricavati da un sondaggio condotto su oltre 100 professionisti in ruoli di sicurezza, sviluppo, operation e prodotto.
Lo studio ha rilevato che oltre i tre quarti degli intervistati (78%) hanno riferito di una forte relazione tra security ed engineering, mettendo in evidenza il fatto che le organizzazioni stanno compiendo la transizione da DevOps a DevSecOps.
Il rapporto di quest’anno esamina anche quali vulnerabilità di sicurezza delle applicazioni web possono essere trovate in modo affidabile utilizzando macchine e quali richiedono invece competenze umane per l’identificazione manuale, nonché i tipi più comuni di vulnerabilità basati sui dati provenienti da oltre 1.200 pentest condotti attraverso la piattaforma PtaaS di Cobalt.io. Per il quarto anno consecutivo, il tipo più comune di vulnerabilità è la configurazione errata.
Secondo quanto evidenziato da Cobalt, le metodologie di sicurezza delle applicazioni stanno evolvendo di pari passo con l’accelerazione del processo di sviluppo del software.
Più di un terzo (37%) degli intervistati rilascia software a cadenza settimanale o giornaliera. Il 52% indica che la propria organizzazione esegue penetration test sull’applicazione almeno trimestralmente, mentre solo il 16% effettua pentest con cadenza annuale o semestrale. Più di tre quarti (78%) degli intervistati conduce il pentesting per migliorare la security posture della propria applicazione.
Le organizzazioni eseguono pentest di molti diversi tipi di applicazioni e gli ambienti cloud continuano a presentare rischi significativi, in particolare per quanto riguarda la configurazione di security errata. Più della metà (51%) degli intervistati, riporta ancora Cobalt, effettua il pentesting solo su ambienti cloud basati su Amazon.
Come sottolineato, il report rivela che la maggior parte degli intervistati (78%) ha riferito di una forte relazione tra security e engineering man mano che le organizzazioni effettuano la transizione da DevOps a DevSecOps e adottano un approccio “tutti fanno parte del team di sicurezza”.
Per quanto riguarda la ricerca di vulnerabilità, secondo le rilevazioni di Cobalt gli esseri umani “primeggiano” nel trovare bypass della logica aziendale, race condition e chained exploit.
Sebbene le macchine ”vincano” in generale nel trovare la maggior parte dei tipi di vulnerabilità, se applicate correttamente, i risultati della scansione, secondo Cobalt, dovrebbero essere usati come guide e analizzati contestualmente.
Ci sono vulnerabilità che né gli umani né le macchine possono trovare in modo indipendente. Piuttosto, suggerisce Cobalt, devono lavorare insieme per identificare questi problemi. Tra i tipi di vulnerabilità che Cobalt inserisce in questa categoria ci sono: falle nell’autorizzazione (come riferimento a oggetti diretti non sicuri), out-of-band XML external entity (OOB XXE), Injection SAML/XXE, cross-site scripting basato su DOM, deserializzazione non sicura, remote code exploitation ( RCE), gestione della sessione, bug dei file upload e controllo dei sottodomini.
Cobalt elenca anche i cinque principali tipi di vulnerabilità che sono stati scoperti dalla Core Pentester Community; essi sono:
- Errore di configurazione
- Cross-site scripting
- Autenticazione e sessioni
- Esposizione di dati sensibili
- Controlli di accesso mancanti
