Czy aplikacje internetowe są bezpieczne?

Przeczytaj także: Cloud computing: niższe koszty, wyższa produktywność

Potwierdzeniem zagrożeń czyhających na aplikacje internetowe jest tegoroczny raport Verizon, z którego wynika, że co czwarty incydent naruszenia bezpieczeństwa danych jest efektem ataku wymierzonego w aplikacje webowe. Jak z tego rodzaju zagrożeniami radzą sobie organizacje? Oto, co udało się ustalić Barracuda Networks.

Chmura publiczna cieszy się zaufaniem

Wdrożenia w chmurze publicznej cieszą się coraz większym zaufaniem. 44 proc. pośród 850 przebadanych specjalistów od bezpieczeństwa IT z całego świata wskazuje, że ich bezpieczeństwo jest tak wysokie jak środowisk lokalnych, a 21 proc. jest przekonanych, że jest ono nawet wyższe. 6 na 10 ankietowanych jest mniej lub bardziej przekonanych, że ich organizacja używa technologii chmurowych w bezpieczny sposób.

Nie jest to jednak pełny obraz. Respondenci nadal nie są skłonni do przechowywania wrażliwych danych w chmurze, przy czym na pierwszych miejscach listy znalazły się informacje o klientach (53 proc.) oraz wewnętrzne dane finansowe (55 proc.). Skarżą się na niedobór umiejętności w zakresie cyberbezpieczeństwa (47 proc.) oraz brak widoczności (42 proc.) jako czynniki utrudniające zabezpieczenie danych w chmurze. A ponad połowa (56%) nie jest pewna, czy ich chmurowy system jest zgodny z przepisami.

Czy niektóre z tych obaw mają związek z zagrożeniami dla aplikacji webowych?

Witryny celem ataków

Wprawdzie aplikacje internetowe są coraz bardziej powszechne, to jednocześnie okazuje się, że bywają dość słabo rozumiane przez same organizacje. Jako metoda dostarczania pozytywnych doświadczeń klientom przy korzystaniu z naszych usług oraz zwiększania produktywności pracowników, aplikacje internetowe są łakomym kąskiem dla cyberprzestępców, którzy próbują wykraść wrażliwe dane i zakłócić kluczowe procesy biznesowe. Badania firmy Forrester z 2018 r. pokazały, że najczęstszą przyczyną udanych włamań były ataki zewnętrzne – których największa część uderzała w aplikacje internetowe (36 proc.).

Z sondażu Barracuda Networks wynika, że ponad połowa (59 proc.) globalnych firm dysponuje zaporami aplikacji webowych (web app firewall, WAF), które ograniczają te zagrożenia. Najpopularniejszą opcją jest nabycie WAF od zewnętrznego dostawcy (32 proc.), co ma sens, pod warunkiem, że zapora może ochronić klientów przed zautomatyzowanymi botami, które dominują w krajobrazie zagrożeń. Niestety nie wszystkie to potrafią.

Aplikacje internetowe, czyli łatanie i konfigurowanie

Jednakże większe obawy budzi to, że wiele organizacji nie traktuje poważnie zagrożeń stwarzanych przez luki w zabezpieczeniach aplikacji webowych. 13 proc. twierdzi, że w ciągu minionych 12 miesięcy nie instalowało poprawek w swoich platformach lub serwerach aplikacji webowych. Spośród tych, którzy to zrobili, ponad jednej trzeciej (38 proc.) zajęło do od 7 do 30 dni, a jednej piątej (21 proc.) – ponad miesiąc.

Właśnie takie podejście przysporzyło poważnych problemów firmie Equifax, która nie załatała niezwłocznie usterki Apache Struts 2, co doprowadziło do gigantycznego naruszenia bezpieczeństwa danych, które dotychczas kosztowało ponad 1,4 mld dol. Jest to oczywiście przykład skrajny, który podkreśla jednak potencjalne ryzyko dla firm.

Aplikacje internetowe i ich bezpieczeństwo cierpią również przez ludzkie błędy. Dobitnym tego dowodem może być tegoroczne włamanie do Capital One, które wpłynęło na ponad 100 milionów klientów amerykańskiego banku. Powodem problemów była błędna konfiguracja opensourcowej zapory WAF.

Około 39 proc. respondentów podało, że nie mają zapory WAF, ponieważ ich aplikacje internetowe nie przetwarzają żadnych wrażliwych danych. Ataki nie skupiają się jednak wyłącznie na kradzieży danych, mogą też zakłócać usługi o krytycznym znaczeniu dla funkcjonowania firmy. Zapory WAF z pewnością nie są panaceum na wszystkie problemy. Jednak jako część wielowarstwowego podejścia do cyberbezpieczeństwa stanowią ważne narzędzie w walce z ryzykiem biznesowym.

Rosnące zaufanie do chmury umożliwia transformację cyfrową w organizacjach różnej wielkości, ale nie jest to powodem do zaniechania czujności. Cyberprzestępcy koncentrują się na lukach w zabezpieczeniach i słabych punktach, które w przeszłości bywały ignorowane, a wiele organizacji nie jest świadomych, jak te wielowarstwowe ataki mogą się rozwinąć się z jednego punktu dostępu. Zabezpieczenia aplikacji webowych i zarządzanie postawą wobec zagrożeń chmurowych to kluczowe narzędzia, które klienci muszą wdrożyć, aby kontynuować transformację cyfrową w bezpiecznej chmurze.