كاسبرسكي تكشف عن نقاط الضعف الأكثر خطورةً وانتشاراً في تطبيقات الويب الخاصة بالشركات
تاريخ النشر: 13th, March 2024 GMT
حددت دراسة حديثة أجراها خبراء تقييم الأمن في كاسبرسكي نقاط الضعف الأكثر خطورةً وانتشاراً في تطبيقات الويب المطورة داخلياً للشركات. في الفترة بين عامي 2021 و2023، تم العثور على عيوب تتعلق بالتحكم في الوصول وحماية البيانات في معظم الطلبات التي تم فحصها، والتي بلغ مجموعها العشرات. ويرتبط العدد الأكبر من نقاط الضعف عالية الخطورة بعمليات حقن SQL.
تعد تطبيقات الويب مثل الشبكات الاجتماعية، والبريد الإلكتروني، والخدمات على الإنترنت مجرد مواقع في الأساس، حيث يتفاعل المستخدمون مع خادم الويب عبر المتصفح. وقد بحثت شركة كاسبرسكي في دراستها الأخيرة عن نقاط الضعف في تطبيقات الويب المُستخدمة من قبل منظمات تكنولوجيا المعلومات، والحكومات، وشركات التأمين، والاتصالات، والعملات المشفرة، والتجارة الإلكترونية، والرعاية الصحية، وذلك لتحديد أكثر أنواع الهجمات انتشاراً واحتمالية لاستهداف لشركات.
تضمنت الأنواع السائدة من نقاط الضعف إمكانية الاستخدام الخبيث لعيوب التحكم في الوصول، والفشل في حماية البيانات الحساسة. وبين عامي 2021 و2023، أظهرت 70% من تطبيقات الويب التي تم فحصها في هذه الدراسة وجود نقاط ضعف من هاتين الفئتين.
يمكن استخدام ثغرة أمنية معطلة للتحكم في الوصول في حالات محاولة المهاجمين تجاوز سياسات الموقع التي تقيد المستخدمين بأذوناتهم المصرح بها. ويمكن أن يؤدي ذلك إلى الوصول غير المصرح به، أو إلى تغيير البيانات، أو حذفها، أو أكثر من ذلك. ويتضمن النوع الثاني الشائع من الخلل الكشف عن معلومات حساسة مثل كلمات المرور، وتفاصيل بطاقات الائتمان، والسجلات الصحية، والبيانات الشخصية، والمعلومات التجارية السرية، مما يسلط الضوء على الحاجة إلى زيادة التدابير الأمنية.
تقول أوكسانا أندريفا، خبيرة أمنية في فريق تقييم الأمن في كاسبرسكي، موضحة: «تم تجميع التصنيف عبر دراسة أكثر نقاط الضعف شيوعاً في تطبيقات الويب المطورة داخلياً في العديد من الشركات، بالإضافة لمستوى الخطر الخاص بها. على سبيل المثال، قد تمكن إحدى الثغرات الأمنية المهاجمين من سرقة بيانات مصادقة المستخدم، في حين يمكن أن تساعد ثغرة أخرى في تشغيل كود برمجي ضار على الخادم، ولكل منها درجات متفاوتة من العواقب على استمرارية ومقاومة الأعمال. وتعكس تصنيفاتنا هذا الاعتبار، مستفيدة من خبرتنا العملية في تنفيذ مشاريع التحليل الأمني.»
درس خبراء كاسبرسكي كذلك مدى خطورة الثغرات الأمنية الموجودة في المجموعات المذكورة أعلاه. وارتبطت النسبة الأكبر من الثغرات الأمنية عالية الخطورة بعمليات حقن SQL. وعلى وجه الخصوص، تم اعتبار 88% من جميع الثغرات الأمنية التي تم تحليلها لحقن SQL على أنها عالية الخطورة.
وتم اكتشاف أن نسبة كبيرة أخرى من الثغرات الأمنية عالية المخاطر مرتبطة بكلمات مرور المستخدمين الضعيفة. وضمن هذه الفئة، تم تصنيف 78% من جميع نقاط الضعف التي تم تحليلها على أنها عالية الخطورة.
من المهم ملاحظة أن 22% فقط من جميع تطبيقات الويب التي درسها فريق تقييم الأمن في كاسبرسكي كانت تتضمن كلمات مرور ضعيفة. ولعل أحد الأسباب الممكنة هو أن التطبيقات المضمنة في عينة الدراسة كانت إصدارات تجريبية ولم تكن أنظمة حقيقية فعالة.
للتعمق أكثر في الدراسة، قم بزيارة موقع Securelist الإلكتروني. تتوافق فئات نقاط الضعف الموضحة في البحث مع الفئات الأساسية والفئات الفرعية العشر الأعلى ترتيباً في تقييم مشروع أمان تطبيقات الويب المفتوحة (OWASP). ستساعد معالجة ما تم ذكره في الدراسة - من أكثر نقاط الضعف انتشاراً في تطبيقات الويب - الشركات على حماية البيانات السرية وتجنب اختراق تطبيقات الويب والأنظمة المرتبطة بها. لتحسين أمان تطبيقات الويب والكشف عن الهجمات المحتملة عليها في الوقت المناسب، يوصي فريق تقييم الأمن في كاسبرسكي بما يلي:
استخدام دورة الحياة الآمنة لتطوير البرمجيات (SSDLC)؛
وإجراء تقييمات منتظمة لأمن التطبيق؛
واستخدام آليات التسجيل والمراقبة لتتبع عمل التطبيقات.
المصدر: بوابة الوفد
كلمات دلالية: الثغرات الأمنیة عالیة الخطورة نقاط الضعف التی تم
إقرأ أيضاً:
«السعودية للكهرباء» تستضيف ورشة عمل حول الذكاء الاصطناعي التوليدي لاستكشاف تطبيقات أنظمة الطاقة الكهربائية
استضافت الشركة السعودية للكهرباء ورشة عمل متخصصة في الرياض لدراسة الدور المحتمل للذكاء الاصطناعي التوليدي (GenAI) في دعم عمليات المنظومة الكهربائية (التوليد، والنقل، والتوزيع)، وإدارة الأصول، والتخطيط طويل المدى. جمعت هذه الفعالية عددًا من القياديين والخبراء في الشركة السعودية للكهرباء، إلى جانب خبراء مختصين من معهد أبحاث الطاقة الكهربائية (EPRI)، وشركتَي مايكروسوفت وإنفيديا.
تُعد هذه الورشة التفاعلية، التي حملت عنوان “استخدام الذكاء الاصطناعي التوليدي في الشركة السعودية للكهرباء”، جزءًا من جهود الشركة لتقييم التقنيات الرقمية الناشئة التي يمكن أن تعزز وضوح الأنظمة، وكفاءة القوى العاملة، ومرونة البنية التحتية.
وقد تضمن جدول الأعمال جلسات توعوية فنية حول الذكاء الاصطناعي في أنظمة الطاقة الكهربائية، بالإضافة إلى جلسات نقاش لتطوير تطبيقات GenAI مصممة خصيصًا للشركة.
وأوضح المهندس فهد بن عبدالرحمن العتيبي، رئيس قطاع الأبحاث والتطوير والابتكار في الشركة: “تتطور تقنيات مثل الذكاء الاصطناعي التوليدي بسرعة، ومن المهم لنا أن نفهم إمكاناتها بطريقة منهجية وعملية.”
وأضاف: “أتاحت هذه الورشة فرصة للتواصل المباشر مع خبراء دوليين، ودراسة كيفية دعم هذه الأدوات لفرقنا، وتكاملها مع الأنظمة الحالية. ونقدّر الدور الذي قام به معهد أبحاث الطاقة الكهربائية (EPRI) في تنظيم هذه المناقشات، كما نشيد باتحاد الذكاء الاصطناعي للطاقة (OPAI) كمنصة فعالة لتبادل الخبرات وتسريع عملية التعلم في قطاع خدمات الطاقة الكهربائية العالمي.”
وقد لعب معهد أبحاث الطاقة الكهربائية (EPRI) دورًا محوريًا في إعداد محتوى الورشة وإدارة جلساتها، مستفيدًا من مشاركته في اتحاد الذكاء الاصطناعي للطاقة المفتوحة (OPAI)، وهو تعاون عالمي بين مزوّدي خدمات الطاقة الكهربائية، ومؤسسات الأبحاث، وشركات التكنولوجيا، يركّز على تطوير ذكاء اصطناعي آمن ومُخصص لقطاع الطاقة.
كما قدمت شركة مايكروسوفت أمثلة تطبيقية على دمج Copilot وأدوات GenAI الأخرى في مسارات العمل الرئيسة لمزودي خدمات الطاقة، بما يشمل إدارة الانقطاعات، وذكاء المستندات، ومساعدة المشغّل.
فيما استعرضت شركة NVIDIA رؤيتها حول منصات الحوسبة عالية الأداء، وقدرات وكلاء الذكاء الاصطناعي التي تدعم التحسين الفوري، ونمذجة الشبكة، والتحليل التنبئي في أنظمة الطاقة.
وستُسهم نتائج هذه الورشة في توجيه الخطوات المستقبلية للشركة السعودية للكهرباء في تجربة تقنيات GenAI، مع التركيز على القيمة التشغيلية الواضحة، ومواءمة القوى العاملة، وتعزيز الأمن السيبراني.
وقد شملت حالات الاستخدام التي نوقشت خلال الورشة الصيانة التنبؤية للأصول، فرز الإنذارات، تشخيص الانقطاعات، أدوات دعم المعرفة المعززة بالذكاء الاصطناعي لموظفي الميدان وغرف التحكم.
الشركة السعودية للكهرباءأخبار السعوديةآخر أخبار السعوديةقد يعجبك أيضاًNo stories found.
لقاء جعجع – جنبلاط... تحالف انتخابي ع القطعة