Cyberveiligheid: Approach publiceert 'Pentest report 2023' | Agoria
Naar cybersecurity

Cyberveiligheid: Approach publiceert 'Pentest report 2023'

pentest
Gepubliceerd op 04/05/23
Agoria-lid Approach heeft onlangs de derde versie van zijn jaarlijks 'penetration testing report' uitgebracht. Dit rapport biedt waardevolle inzichten in de nieuwste trends en kwetsbaarheden op het gebied van cyberbeveiliging. Het rapport richt zich dit keer o.a. specifiek op nauwelijks detecteerbare kwetsbaarheden, genaamd "Business Logic Flaws". De gegevens werden verzameld uit een steekproef van 60 projecten in 2022, bij 38 verschillende klanten uit 9 sectoren in Europa.

De #1 kwetsbaarheid blijft 'misconfiguratie' (38%) zoals ook vastgesteld in 2021. Zaken zoals onjuiste machtigingen voor clouddiensten, standaardaccounts en actieve standaardwachtwoorden zijn voorbeelden van kwetsbaarheden bij misconfiguratie. Ondanks de toename van het belang ervan voor cyberveerkracht, wordt een goede basis van cyberhygiëne nog steeds niet toegepast. De cyberarmoedegrens wordt niet gehaald. 'Inputvalidatie' steeg van de derde naar de tweede plaats, gevolgd door problemen met 'registratie en authenticatie'. De rest van de resultaten is vergelijkbaar met de bevindingen in 2021.

In vergelijking met het rapport van vorig jaar zien we een dalende trend bij 'hoge' en 'kritieke' kwetsbaarheden. Hoge kwetsbaarheden gingen van 24% naar 20% en kritieke kwetsbaarheden gingen van 10% naar 5%. Alle inspanningen om deze problemen aan te pakken hebben dus duidelijk een positief effect. Anderzijds is helaas nog altijd 25% van alle kwetsbaarheden kritiek of hoog, wat nog steeds te veel is.

Na het hertesten steeg het aantal onopgeloste problemen van 44% naar 63%, een stijging van bijna 20%. De reden van deze stijging kan worden toegeschreven aan de uitdagingen waarmee de respondenten worden geconfronteerd:

  • Ze missen de vaardigheid of competentie om deze problemen op te lossen.
  • Het probleem is inherent aan de toepassing/het systeem en het oplossen ervan zou een aanzienlijke inspanning vergen.
  • De focus van ontwikkelaars ligt op het oplossen van kritieke en hoge kwetsbaarheden. Er is geen ruimte voor middelmatige en lage kwetsbaarheden.

Business logic flaws, meestal gevonden in web- en mobiele toepassingen, zijn een kritieke kwetsbaarheid die moeilijk te detecteren zijn omdat ze geen specifieke handtekening hebben die kan worden gedetecteerd met geautomatiseerde scanners (firewalls, IDS). Ze maken misbruik van de beoogde bedrijfslogica om hun kwaadaardige doelen te bereiken. Veel voorkomende aanvalsvectoren die gericht zijn op bedrijfslogica zijn:

  • Misbruik van authenticatielogica: wachtwoord reset functionaliteiten kunnen worden misbruikt door een aanvaller.
  • Misbruik van autorisatielogica: manipulatie van gebruikers-ID's.
  • Manipuleren van gebruikersinvoer: manipulatie van parameters zoals veranderen van de hoeveelheid artikelen in online winkels.
  • Onverwachte gebruikersinvoer gebruiken: het invoeren van negatieve getallen bij overschrijvingen in online bankieren om het totale saldo te wijzigen.
    (Totaal - (-Overschrijving) = Totaal + Overschrijving)
  • Dwalen in de workflow: springen in de flow door de 2e factor van 2FA te omzeilen.
  • Doorbreken van de bedoelde logica: herhaaldelijk hetzelfde geldige overschrijvingsverzoek sturen om meer geld te ontvangen dan men origineel had.

U kunt zich tegen deze gebreken beschermen door actief (penetratie)tests te laten uitvoeren door ervaren deskundigen, bij de ontwikkeling van toepassingen rekening te houden met deze gebreken en gebruik te maken van application threat modelling.

Bekijk hier de  volledige resultaten van het Pentest report 2023' van Approach.

Meer leren over cybersecurity?

Schrijf in voor cyberstart.be, de gratis e-tutorial voor bedrijven om via één e-mail per week een cybersecurity stappenplan op te bouwen.

Bouwt u uw kennis liever wat sneller op, via 1-daagse opleidingen bijvoorbeeld? Volg dan de opleiding Cyberveilig in 30 stappen op 4 juli in Antwerpen. Of neem deel aan een Lerend Netwerk waarin we dieper ingaan op hoe u als kmo best reageert op een cybersecurity-incident.

Aanbevolen expert

Eric Van Cangh
Senior Business Group Leader Digital

Documenten

icon
Up2date | Ransomware bij kmo’s – hoe gaan ze hiermee om?
In Nederlands | 2.82 MB
icon
Up2date | Create a cyber plan using the CyberFundamentals Framework
In Nederlands | 4.99 MB
icon
Up2date | Cyber Resilience Act: what is required of hardware and software products and components?
In Nederlands | 5.12 MB

Agenda

Diensten

Advies - Cybersecurity REDline

Bent u het slachtoffer van een cyberaanval of heeft zich een cyberveiligheidsincident voorgedaan? Agoria staat klaar om u directe ondersteuning te bieden, afgestemd op uw specifieke situatie.

Lees meer

Tool - Cyber Risk Scan

Cyberaanvallen zijn vandaag geen uitzondering meer. Ze treffen organisaties van elke omvang, in elke sector. De vraag is niet óf u kwetsbaar bent, maar waar precies.

Lees meer
Was dit artikel nuttig?

Gerelateerde artikels

Nieuws

Approach Cyber's rapport 2025 onthult zorgwekkende stijging van kwetsbaarheden

27/05/25
Cybersecuritybedrijf Approach Cyber, een lid van Agoria, heeft zopas de vijfde editie van zijn Jaarlijks Penetratietestrapport gepubliceerd. Het rapport toont een sterke en verontrustende toename van kritieke kwetsbaarheden aan...
Nieuws

Kom naar ‘Securing Tomorrow. Now.’ en versterk uw cyberweerbaarheid

22/05/25
De cyberdreigingen nemen hand over hand toe, technologieën worden complexer en talenten worden schaarser. Belangrijke vragen in die context zijn dan natuurlijk: hoe versterkt u de weerbaarheid van uw organisatie? En hoe gaat u van...
Nieuws

Securing Tomorrow, Now: in gesprek met Jen Easterly over cyberweerbaarheid, vertrouwen en leiderschap in een digitale wereld

08/05/25
In een wereld waar ontwrichting onvermijdelijk is, is veerkracht niet optioneel maar essentieel. Weinig leiders begrijpen dit beter dan Jen Easterly, voormalig directeur van het Amerikaanse Cybersecurity and Infrastructure...

Gerelateerde thema's