Raport „The State of the State of Application Exploits in Security Incidents”, sponsorowany przez F5, wskazuje, że 56% incydentów cyberbezpieczeństwa w ostatnich pięciu latach było związanych z aplikacjami internetowymi. Aż 57% znanych, poniesionych w tym obszarze i okresie strat, przypisanych jest cyberprzestępcom powiązanym z państwami, a znana wielkość strat spowodowanych ich działaniami wyniosła 4,3 mld USD.
Exploity aplikacji internetowych – szkodliwe programy wykorzystujące luki w aplikacjach – stanowią obecnie największe zagrożenie cybernetyczne, przed którym stoją organizacje.
Raport wskazuje, że 56% największych incydentów cyberbezpieczeństwa z ostatnich pięciu lat wiąże się z jakąś formą problemów z aplikacjami internetowymi. Reagowanie na te incydenty kosztowało w badanym okresie ponad 7,6 mld USD, co stanowi 42% wszystkich kosztów finansowych odnotowanych w przypadku „ekstremalnych zdarzeń związanych z cyberstratami”. Ataki na aplikacje internetowe były również wiodącym wzorcem incydentów wśród naruszeń danych przez sześć z ostatnich ośmiu lat.
Ponadto, wykorzystanie aplikacji dostępnych publicznie było techniką numer jeden lub dwa pośród zgłaszających ataki. Raport wskazuje także, że średni czas do wykrycia incydentów wykorzystujących exploity aplikacji internetowych wynosił aż 254 dni – znacznie więcej niż średnia 71 dni dla innych badanych zdarzeń ekstremalnych powodujących straty.
Raporty analizowane na nasze zlecenie podchodzą do kwestii cyberzagrożeń w różny sposób: skupiają się na incydentach ale też na motywacji i taktykach atakujących, typach podatności czy technikach i procedurach (TTP). Pomimo tych różnic w podejściu analiza prowadzi do podobnych wniosków: ataki na aplikacje internetowe, przede wszystkim ataki uwierzytelniające i exploity internetowe, stanowią największe źródło ryzyka – Ray Pompon, dyrektor F5 Labs.
Raport wskazuje również konsensus dla kluczowych zaleceń dotyczących środków bezpieczeństwa, które można podsumować w jednym zdaniu: naprawiaj swój kod, łataj systemy, podwajaj wiarygodność i uważaj na zaplecze (back door).
Wygląda na to, że wiele zespołów ds. bezpieczeństwa teoretycznie wie, co należy robić, jednak problemem jest zastosowanie tych zaleceń w praktyce. Trudność ze zdefiniowaniem takich zaleceń dla wszystkich organizacji wynika ze złożoności i różnic pomiędzy nimi – w obszarach modelu biznesowego, organizacyjnego, tolerancji ryzyka, poziomu zaawansowania technologicznego (śladu technologicznego) i tak dalej. Z tego powodu oczekiwana zmiana w modelu inteligentnej cyberochrony idzie w kierunku modelu wywiadu i wskazań dotyczących bezpieczeństwa. Zespoły ochrony tak naprawdę nie potrzebują podpowiedzi, „co” należy robić, lecz raczej „jak” odpowiednio chronić organizacje – podsumowuje Ray Pompon.
