Uno studio di Radware mostra che le applicazioni Web sono inutilmente vulnerabili agli attacchi informatici. Le aziende globali faticano a mantenere una sicurezza delle applicazioni coerente su più piattaforme.
Perdono anche trasparenza con l'emergere di nuove architetture e l'introduzione di API (Application Program Interface). Questi sono i principali risultati dello studio 2020-2021 State of Web Application Security Report di Radware. Lo sfondo di questo sviluppo è la necessità di adattarsi rapidamente a un nuovo modello di lavoro a distanza e contatto con i clienti derivante dalla pandemia. In questa transizione, molti decisori hanno avuto poco o nessun tempo per un'adeguata pianificazione della sicurezza.
Report sullo stato della sicurezza delle applicazioni Web 2020-2021
"Con oltre il 70% degli intervistati che ha riferito che le proprie app di produzione hanno già lasciato il data center, garantire la sicurezza e l'integrità di questi dati e applicazioni sta diventando sempre più difficile, soprattutto in ambienti multi-cloud", ha affermato Gabi Malka, Chief Operating Officer Ufficiale di Radware. “Questa migrazione, unita alla crescente dipendenza dalle API e all'adozione di app mobili non protette, è un vantaggio per i criminali, poiché offre loro un vantaggio in termini di sicurezza informatica. Mentre gli intervistati che eseguono già più app basate su API su cloud pubblici sembrano comprendere i rischi, quelli che non lo sono sembrano pericolosamente compiacenti". I principali risultati dello studio Radware sono:
Le app mobili sono molto meno sicure
Le app mobili stanno attualmente svolgendo un ruolo cruciale poiché la maggior parte dei lavoratori dell'informazione lavora da casa e la maggior parte utilizza app mobili per l'intrattenimento, l'interazione sociale, l'istruzione e lo shopping. Tuttavia, lo sviluppo delle app mobili è molto incerto. Ciò è in parte dovuto al fatto che le app mobili sono più spesso sviluppate da terze parti.
Questa ricerca ha rilevato che solo il 36% delle app mobili dispone di funzionalità di sicurezza completamente integrate e che gran parte di esse ha funzionalità di sicurezza minime o assenti (22%). Fino a quando la sicurezza delle app mobili non verrà presa sul serio, Radware si aspetta altri e più gravi incidenti che utilizzano il canale mobile per lanciare attacchi. Ciò, a sua volta, aumenterà probabilmente la pressione sulle aziende affinché proteggano le app mobili per evitare di esporre i dati dei clienti agli hacker.
Le API sono la prossima grande minaccia
La dipendenza e l'affidamento dalle applicazioni abilitate per il Web sotto forma di API è in aumento. Una varietà di tipi di dati sensibili viene elaborata dalle API, ad es. Ad esempio dati di accesso, informazioni di pagamento, ecc. Gli specialisti della sicurezza di Radware prevedono che l'abuso delle API diventerà il vettore di attacco più comune. Pertanto, la sicurezza delle API è il divario più critico che le organizzazioni dovrebbero colmare nel 2021.
Quasi il 40% delle aziende intervistate ha affermato che più della metà delle loro applicazioni sono connesse a Internet o a servizi di terze parti tramite API. Circa il 55% delle organizzazioni subisce un attacco DoS contro le proprie API almeno una volta al mese, il 49% subisce una qualche forma di attacco injection almeno una volta al mese e il 42% sperimenta la manomissione di elementi o attributi almeno una volta al mese.
Aziende impreparate al traffico bot
Anche la gestione dei bot è un grosso problema perché le aziende non sono preparate a gestire correttamente il traffico dei bot. Mentre i firewall per applicazioni Web forniscono difese critiche per rilevare e prevenire attacchi alle API e simili, gli strumenti di gestione dei bot forniscono una solida difesa contro sofisticati attacchi di bot. Offrono ai team di sicurezza una migliore comprensione di come affrontare un'ampia gamma di minacce e attacchi.
Il sondaggio di Radware ha rilevato che solo il 24% delle organizzazioni dispone di una soluzione dedicata per distinguere tra un utente reale e un bot. Inoltre, solo il 39% degli intervistati è sicuro di capire cosa succede con sofisticati robot malvagi.
Il personale di sicurezza non è il principale decisore
Nonostante le minacce presentate nel rapporto, la sicurezza non è la massima priorità quando si tratta di sviluppo di applicazioni. In circa il 90% delle aziende intervistate, i responsabili della sicurezza non possono decidere sull'architettura di sviluppo delle applicazioni o sul budget. Circa il 43% delle aziende intervistate ha indicato che l'integrazione dei meccanismi di sicurezza non dovrebbe interrompere l'automazione end-to-end del ciclo di rilascio. Ciò porta a una situazione in cui i responsabili della sicurezza hanno poca influenza sullo sviluppo delle applicazioni.
Gli attacchi DDoS non scompariranno
L'attacco bot più comune è il denial of service, sebbene ne esistano diverse forme. Circa l'86% ha riferito di aver subito un attacco di questo tipo, con un terzo che segnala eventi settimanali e il 5% giornalieri. La negazione del servizio a livello di applicazione assume spesso la forma di inondazioni HTTP/S. Quasi il 60% delle aziende subisce un HTTP flood almeno una volta al mese o più.
Ulteriori informazioni su Radware.com
A proposito di Radware Radware (NASDAQ: RDWR) è un leader globale nelle soluzioni di distribuzione delle applicazioni e sicurezza informatica per data center virtuali, cloud e software-defined. Il pluripremiato portafoglio dell'azienda protegge l'infrastruttura IT e le applicazioni critiche dell'intera azienda e ne garantisce la disponibilità. Più di 12.500 clienti aziendali e carrier in tutto il mondo beneficiano delle soluzioni Radware per adattarsi rapidamente agli sviluppi del mercato, mantenere la continuità aziendale e massimizzare la produttività a basso costo.