根据 Veracode 的一项新研究,超过五分之四(82%)的公共部门应用程序存在安全缺陷,这是所有行业中比例最高的。
研究人员还发现,与其他行业相比,公共部门修复一次发现的缺陷所需的时间大约是其他行业的两倍。此外,公共部门第三方图书馆中60% 的缺陷在两年后仍然没有得到修复。这是其他行业时间框架的两倍,比跨行业平均水平落后15个月。
这份报告基于对2000万份扫描数据的分析,这些扫描数据来自公共部门、制造业、金融服务业、零售与酒店业、医疗保健和科技领域的50万份应用。
公共部门的脆弱性修复率也是所有行业中最低的,为22% 。研究人员表示,研究结果表明,公共部门实体特别容易受到像 SolarWinds 和 Kaseya 这样的软件供应链攻击,导致巨大的中断和关键数据泄露。
令人鼓舞的是,报告确实发现公共部门组织在处理严重缺陷方面取得了重大进展。根据分析,高度缺陷只出现在16% 的公共部门申请中,总数在过去一年下降了30% 。研究人员认为,这表明新的政府网络安全举措正在产生积极影响,比如美国总统乔•拜登(Joe Biden)去年下达的行政命令,要求实施零信任等网络安全措施,以及英国政府最近的网络安全战略,重点是加强国家公共服务的安全。
Veracode 首席研究官 Chris Eng 评论道: “公共部门的决策者和领导者认识到,过时的技术和大量敏感数据使政府应用成为恶意行为者的首要目标。这就是为什么白宫和国会正在合作更新网络安全法规。在2021年5月的行政命令改善国家的网络安全和保护联邦政府网络之后,美国管理和预算办公室,国防部和白宫已经发布了四份备忘录来解决采用零信任网络安全原则和加强软件供应链安全的需要。我们的研究证实了这种需求。”
今年1月,拜登总统签署了一份国家安全备忘录,要求国家安全系统实施网络安全措施,这些措施至少要达到联邦民用网络的要求。本月早些时候,美国通过了新的立法,将强制关键基础设施公司在72小时内报告网络事件。