Un estudio de Radware muestra: Las aplicaciones web son innecesariamente vulnerables a los ataques cibernéticos. Las empresas globales se esfuerzan por mantener una seguridad de aplicaciones consistente en múltiples plataformas.
También pierden transparencia con la aparición de nuevas arquitecturas y la introducción de interfaces de programación de aplicaciones (API). Estos son los hallazgos clave del estudio Informe sobre el estado de la seguridad de las aplicaciones web 2020-2021 de Radware. El trasfondo de este desarrollo es la necesidad de adaptarse rápidamente a un nuevo modelo de trabajo remoto y contacto con el cliente que resultó de la pandemia. En esta transición, muchos responsables de la toma de decisiones han tenido poco o ningún tiempo para una adecuada planificación de la seguridad.
Informe sobre el estado de la seguridad de las aplicaciones web 2020-2021
“Con más del 70 por ciento de los encuestados informando que sus aplicaciones de producción ya han salido del centro de datos, garantizar la seguridad e integridad de estos datos y aplicaciones es cada vez más difícil, especialmente en entornos de múltiples nubes”, dijo Gabi Malka, director de operaciones. Oficial en Radware. “Esta migración, combinada con una mayor dependencia de las API y la adopción de aplicaciones móviles no seguras, es una bendición para los delincuentes, ya que les brinda una ventaja en ciberseguridad. Si bien los encuestados que ya ejecutan varias aplicaciones basadas en API en nubes públicas parecen comprender los riesgos, los que no lo hacen parecen peligrosamente complacientes”. Los hallazgos clave del estudio de Radware son:
Aplicaciones móviles mucho menos seguras
Las aplicaciones móviles actualmente juegan un papel crucial, ya que la mayoría de los trabajadores de la información trabajan desde casa y la mayoría usa aplicaciones móviles para el entretenimiento, la interacción social, la educación y las compras. Sin embargo, el desarrollo de aplicaciones móviles es muy incierto. Esto se debe en parte al hecho de que las aplicaciones móviles suelen ser desarrolladas por terceros.
Esta investigación encontró que solo el 36% de las aplicaciones móviles tienen características de seguridad completamente integradas, y una gran parte tiene características de seguridad mínimas o nulas (22%). Hasta que la seguridad de las aplicaciones móviles se tome en serio, Radware espera más incidentes, y más graves, que utilicen el canal móvil para lanzar ataques. Esto, a su vez, probablemente aumentará la presión sobre las empresas para proteger las aplicaciones móviles y evitar exponer los datos de los clientes a los piratas informáticos.
Las API son la próxima gran amenaza
La dependencia y confianza en las aplicaciones habilitadas para la web en forma de API está aumentando. Las API procesan una variedad de tipos de datos confidenciales, p. Por ejemplo, datos de acceso, información de pago, etc. Los especialistas en seguridad de Radware esperan que el abuso de API se convierta en el vector de ataque más común. Por lo tanto, la seguridad de las API es la brecha más crítica que las organizaciones deben cerrar en 2021.
Casi el 40% de las empresas encuestadas dijeron que más de la mitad de sus aplicaciones están conectadas a Internet o a servicios de terceros a través de API. Aproximadamente el 55 % de las organizaciones experimentan un ataque DoS contra sus API al menos una vez al mes, el 49 % experimenta algún tipo de ataque de inyección al menos una vez al mes y el 42 % experimenta la manipulación de elementos o atributos al menos una vez al mes.
Empresas no preparadas para el tráfico de bots
La gestión de bots también es un gran problema porque las empresas no están preparadas para gestionar adecuadamente el tráfico de bots. Si bien los firewalls de aplicaciones web brindan defensas críticas para detectar y prevenir ataques a API y similares, las herramientas de administración de bots brindan una defensa sólida contra ataques de bots sofisticados. Brindan a los equipos de seguridad una mejor comprensión de cómo lidiar con una amplia gama de amenazas y ataques.
La encuesta de Radware encontró que solo el 24% de las organizaciones tienen una solución dedicada para distinguir entre un usuario real y un bot. Además, solo el 39 % de los encuestados confía en que comprende lo que sucede con los sofisticados bots malvados.
El personal de seguridad no es el principal tomador de decisiones
A pesar de las amenazas presentadas en el informe, la seguridad no es la principal prioridad cuando se trata del desarrollo de aplicaciones. En aproximadamente el 90% de las empresas encuestadas, los responsables de seguridad no pueden decidir sobre la arquitectura de desarrollo de la aplicación ni sobre el presupuesto. Aproximadamente el 43% de las empresas encuestadas indicaron que la integración de mecanismos de seguridad no debería romper la automatización de extremo a extremo del ciclo de lanzamiento. Esto conduce a una situación en la que los responsables de la seguridad tienen poca influencia en el desarrollo de las aplicaciones.
Los ataques DDoS no desaparecerán
El ataque de bot más común es la denegación de servicio, aunque existen diferentes formas. Alrededor del 86 % informó haber experimentado un ataque de este tipo, con un tercio de informes semanales y el 5 % diario. La denegación de servicio en la capa de aplicación a menudo toma la forma de inundaciones HTTP/S. Casi el 60% de las empresas experimentan una inundación de HTTP al menos una vez al mes o más.
Más información en Radware.com
Acerca de Radware Radware (NASDAQ: RDWR) es líder mundial en soluciones de ciberseguridad y entrega de aplicaciones para centros de datos virtuales, en la nube y definidos por software. La cartera galardonada de la empresa protege la infraestructura de TI y las aplicaciones críticas de toda la empresa y garantiza su disponibilidad. Más de 12.500 XNUMX clientes empresariales y de operadores en todo el mundo se benefician de las soluciones de Radware para adaptarse rápidamente a los desarrollos del mercado, mantener la continuidad del negocio y maximizar la productividad a bajo costo.