Дослідження Radware показує: веб-додатки безпідставно вразливі до кібератак. Глобальні підприємства намагаються підтримувати стабільну безпеку додатків на багатьох платформах.
Вони також втрачають прозорість із появою нових архітектур і впровадженням прикладних програмних інтерфейсів (API). Це ключові висновки дослідження Radware про стан безпеки веб-додатків за 2020-2021 роки. Підґрунтям цього розвитку є необхідність швидко адаптуватися до нової моделі віддаленої роботи та контакту з клієнтами, яка стала результатом пандемії. Під час цього переходу багато осіб, які приймають рішення, мали мало або зовсім не мали часу для належного планування безпеки.
Звіт про стан безпеки веб-додатків за 2020-2021 рр
«Оскільки понад 70 відсотків респондентів повідомляють, що їхні робочі додатки вже покинули центр обробки даних, забезпечити безпеку та цілісність цих даних і додатків стає дедалі складніше, особливо в багатохмарних середовищах», — сказав Габі Малка, головний операційний директор. Офіцер компанії Radware. «Ця міграція в поєднанні зі збільшенням використання API та використанням незахищених мобільних додатків є благом для злочинців, надаючи їм перевагу в кібербезпеці. У той час як респонденти, які вже використовують кілька додатків на основі API у загальнодоступних хмарах, здається, розуміють ризики, ті, хто цього не робить, виглядають небезпечно самовдоволеними». Основні висновки дослідження Radware:
Мобільні програми набагато менш безпечні
Мобільні програми наразі відіграють вирішальну роль, оскільки більшість інформаційних працівників працюють вдома та використовують мобільні програми для розваг, соціальної взаємодії, навчання та покупок. Однак розвиток мобільних додатків є дуже невизначеним. Частково це пов’язано з тим, що мобільні програми частіше розробляються сторонніми розробниками.
Це дослідження показало, що лише 36% мобільних додатків мають повністю інтегровані функції безпеки, а значна частина має мінімальні функції безпеки або взагалі їх не має (22%). Поки безпека мобільних додатків не буде сприйнята серйозно, Radware очікує більше — і більш серйозних — інцидентів, які використовують мобільний канал для запуску атак. Це, у свою чергу, ймовірно, посилить тиск на компанії щодо захисту мобільних додатків, щоб уникнути розкриття даних клієнтів хакерам.
Наступною великою загрозою є API
Залежність і довіра до веб-додатків у формі API зростає. API обробляють різні типи конфіденційних даних, напр. Наприклад, дані доступу, платіжна інформація тощо. Фахівці з безпеки Radware очікують, що зловживання API стане найпоширенішим вектором атак. Тому безпека API є найбільш критичною прогалиною, яку організації повинні усунути у 2021 році.
Майже 40% опитаних компаній заявили, що більше половини їхніх додатків підключені до Інтернету або сторонніх служб через API. Приблизно 55% організацій стикаються з DoS-атаками на свої API принаймні раз на місяць, 49% стикаються з деякою формою ін’єкційної атаки принаймні раз на місяць, а 42% стикаються зі зміною елементів або атрибутів принаймні раз на місяць.
Підприємства не готові до трафіку ботів
Управління ботами також є великою проблемою, оскільки компанії не готові належним чином керувати трафіком ботів. Хоча брандмауери веб-додатків забезпечують критичний захист для виявлення та запобігання атакам на API тощо, інструменти керування ботами забезпечують надійний захист від складних атак ботів. Вони дають командам безпеки краще зрозуміти, як боротися з широким спектром загроз і атак.
Опитування Radware показало, що лише 24% організацій мають спеціальне рішення для розрізнення реального користувача від бота. Крім того, лише 39% респондентів впевнені, що розуміють, що відбувається зі складними злими ботами.
Охоронний персонал не є головним, хто приймає рішення
Незважаючи на загрози, представлені у звіті, безпека не є головним пріоритетом, коли йдеться про розробку програм. Приблизно в 90% опитаних компаній менеджери з безпеки не можуть визначитися з архітектурою розробки програми або бюджетом. Приблизно 43% опитаних компаній вказали, що інтеграція механізмів безпеки не повинна порушувати наскрізну автоматизацію циклу випуску. Це призводить до ситуації, коли люди, відповідальні за безпеку, мало впливають на розробку програм.
DDoS-атаки не зникнуть
Найпоширеніша атака ботів – це відмова в обслуговуванні, хоча існують різні форми. Приблизно 86% повідомили, що стикалися з таким нападом, причому третина повідомила щотижня, а 5% - щодня. Відмова в обслуговуванні на прикладному рівні часто набуває форми потоку HTTP/S. Майже 60% підприємств стикаються з HTTP-потоком принаймні раз на місяць або частіше.
Дізнайтеся більше на Radware.com
Про Radware Radware (NASDAQ: RDWR) є світовим лідером у сфері доставки додатків і рішень кібербезпеки для віртуальних, хмарних і програмно-визначених центрів обробки даних. Відзначене нагородами портфоліо компанії захищає всю корпоративну ІТ-інфраструктуру та критичні програми та забезпечує їх доступність. Понад 12.500 XNUMX корпоративних і операторських клієнтів у всьому світі отримують переваги від рішень Radware, щоб швидко адаптуватися до розвитку ринку, підтримувати безперервність бізнесу та максимізувати продуктивність за низьких витрат.