Radware の調査によると、Web アプリケーションはサイバー攻撃に対して不必要に脆弱です。 グローバル企業は、複数のプラットフォーム間で一貫したアプリケーションのセキュリティを維持することに苦労しています。
また、新しいアーキテクチャの出現やアプリケーション プログラム インターフェイス (API) の導入により、透明性も失われます。 これらは、ラドウェアの 2020 ~ 2021 年の Web アプリケーション セキュリティの現状レポート調査の主な結果です。 この開発の背景には、パンデミックの結果生じたリモートワークと顧客連絡の新しいモデルに迅速に適応する必要があることが挙げられます。 この移行期において、多くの意思決定者は適切なセキュリティ計画を立てる時間がほとんど、あるいはまったくありませんでした。
2020 ~ 2021 年の Web アプリケーション セキュリティの現状レポート
「回答者の 70% 以上が、運用アプリケーションがすでにデータセンターから離れていると報告しており、特にマルチクラウド環境では、これらのデータとアプリケーションのセキュリティと整合性を確保することがますます困難になっています」と最高執行責任者の Gabi Malka 氏は述べています。ラドウェア社の役員。 「この移行は、API への依存の増大や安全でないモバイル アプリの導入と相まって、犯罪者にとって恩恵となり、サイバーセキュリティ上の優位性をもたらします。 すでにパブリック クラウド上で複数の API ベースのアプリを実行している回答者はリスクを理解しているようですが、そうでない回答者は危険なほど自己満足しているようです。」 Radware 調査の主な結果は次のとおりです。
モバイルアプリの安全性ははるかに低い
現在、ほとんどのインフォメーション ワーカーが在宅勤務をしており、エンターテイメント、社交、教育、ショッピングにモバイル アプリを使用しているため、モバイル アプリが重要な役割を果たしています。 しかし、モバイルアプリの開発は非常に不確実です。 これは、モバイル アプリがサードパーティによって開発されることが多いことが部分的に原因です。
この調査では、完全に統合されたセキュリティ機能を備えているモバイル アプリは 36% のみであり、大部分 (22%) には最小限のセキュリティ機能が備わっているか、まったくセキュリティ機能が備わっていないことがわかりました。 モバイル アプリのセキュリティが真剣に受け止められるまで、ラドウェアはモバイル チャネルを使用して攻撃を開始する、より多くの、より深刻なインシデントを予想しています。 これにより、顧客データがハッカーにさらされるのを避けるためにモバイルアプリを保護するという企業への圧力が高まる可能性がある。
API は次の大きな脅威となる
API 形式の Web 対応アプリケーションへの依存度が高まっています。 さまざまな種類の機密データが API によって処理されます。 例: アクセス データ、支払い情報など。Radware のセキュリティ スペシャリストは、API の悪用が最も一般的な攻撃ベクトルになると予想しています。 したがって、API セキュリティは、組織が 2021 年に埋めるべき最も重要なギャップとなります。
調査対象となった企業の約 40% は、自社のアプリケーションの半分以上が API を介してインターネットまたはサードパーティのサービスに接続されていると回答しました。 組織の約 55% が API に対する DoS 攻撃を少なくとも月に 49 回経験し、42% が何らかの形式のインジェクション攻撃を少なくとも月に XNUMX 回、XNUMX% が要素または属性の改ざんを少なくとも月に XNUMX 回経験しています。
ボットトラフィックに対する準備が整っていない企業
企業はボットのトラフィックを適切に管理する準備ができていないため、ボットの管理も大きな問題です。 Web アプリケーション ファイアウォールは API などに対する攻撃を検出して防止する重要な防御機能を提供しますが、ボット管理ツールは高度なボット攻撃に対する堅牢な防御機能を提供します。 これらにより、セキュリティ チームは幅広い脅威や攻撃に対処する方法をより深く理解できるようになります。
Radware の調査によると、実際のユーザーとボットを区別するための専用ソリューションを備えている組織は 24% のみであることがわかりました。 さらに、洗練された邪悪なボットで何が起こるかを理解していると自信を持っている回答者はわずか 39% です。
セキュリティ担当者は主要な意思決定者ではない
レポートで提示されている脅威にもかかわらず、アプリケーション開発に関してはセキュリティが最優先事項ではありません。 調査対象企業の約 90% では、セキュリティ管理者がアプリケーション開発アーキテクチャや予算を決定できません。 調査対象の企業の約 43% は、セキュリティ メカニズムの統合によってリリース サイクルのエンドツーエンドの自動化が中断されるべきではないと回答しました。 このため、セキュリティの責任者がアプリケーションの開発にほとんど影響を及ぼさない状況が生じます。
DDoS攻撃はなくならない
さまざまな形式がありますが、最も一般的なボット攻撃はサービス拒否です。 約 86% がそのような攻撃を経験したと報告し、5 分の 60 は毎週、XNUMX% は毎日発生したと報告しています。 アプリケーション層でのサービス拒否は、HTTP/S フラッドの形で発生することがよくあります。 約 XNUMX% の企業が、少なくとも月に XNUMX 回以上 HTTP フラッドを経験しています。
詳細については、Radware.com をご覧ください
ラドウェアについて ラドウェア (NASDAQ: RDWR) は、仮想、クラウド、およびソフトウェア デファインド データ センター向けのアプリケーション配信およびサイバーセキュリティ ソリューションのグローバル リーダーです。 同社の受賞歴のあるポートフォリオは、会社全体の IT インフラストラクチャと重要なアプリケーションを保護し、それらの可用性を保証します。 世界中の 12.500 を超えるエンタープライズおよび通信事業者のお客様が、ラドウェアのソリューションの恩恵を受けて、市場の発展に迅速に適応し、ビジネスの継続性を維持し、低コストで生産性を最大化しています。