Megvan az eredménye a RelNet eLearning „Díjazzuk a tudást” promóciójának!
2021. január 21.
Mostantól a Flowmon Networks megoldásai is elérhetők a RelNet kínálatában!
2021. február 18.Megvan az eredménye a RelNet eLearning „Díjazzuk a tudást” promóciójának!
2021. január 21.Mostantól a Flowmon Networks megoldásai is elérhetők a RelNet kínálatában!
2021. február 18.
Az alkalmazásfejlesztés nem tart lépést az alkalmazásbiztonsággal
Tanulságos Radware kutatás a webalkalmazások és az API-k hanyatló biztonságáról
A digitális transzformáció felgyorsításának érdekében a szervezetek világszerte egyre több alkalmazást fejlesztenek és használnak. A vállalatok ma már rengeteg webes és mobilalkalmazás révén tartják a kapcsolatot az ügyfelekkel, az üzleti partnerekkel, a beszállítókkal és a dolgozókkal. Legyen szó kifinomult e-commerce modulokról, a termelékenységet növelő felhőalapú megoldásokról vagy telefonokon futó személyi appokról, az alkalmazások mozgatnak mindent, ugyanakkor jócskán megnövelik a szervezetek támadási felületeit is. A Radware legújabb kutatását foglaljuk össze.
Az alkalmazások támadási felülete jóval kiterjedtebb lett, hiszen a komplexitással új sebezhető pontok bukkannak fel. A fejlesztők alkalmazásprogramozási interfészek (API-k) révén teremtenek kapcsolatot a szoftverek között az adatmegosztás és a funkcionalitás bővítése érdekében. Ugyanakkor éppen az API-k jelentik a legsebezhetőbb behatolási pontot a hálózatokat megcélzó rosszindulatú szereplők számára, mivel a vállalatok láthatóan nem készültek fel ezeknek a veszélyeknek a kezelésére. A Radware az alkalmazás- és API-biztonság aktuális helyzetének feltárása érdekében egy kutatás erejéig összeállt az Osterman Research-csel. A felmérés során a két szervezet több mint 200, közepes és nagy vállalatban dolgozó szakember válaszait gyűjtötte be a világ minden tájáról és a legkülönfélébb iparágakból. Az elkészült jelentés összefoglalja a szervezetek alkalmazásbiztonsággal kapcsolatos tudatossági szintjét, a vakfoltokat, gyakorlatokat és stratégiákat. Bemutat felhasználási eseteket és üzleti előnyöket, megvizsgálja, hogyan látják a különféle szakmák az alkalmazásbiztonságot, illetve feltárja a biztonsági döntések üzleti hatásait. A kutatás kiemelt figyelmet fordít az API-biztonságra, hogy világosabb legyen az üzleti célok és a biztonsági kockázatok között feszülő ellentét a különféle alkalmazásfejlesztési és gyártási környezetek tekintetében.
Az alkalmazásfejlesztés és -kézbesítés aktuális helyzete • A válaszadók 98 százaléka tapasztalt a szervezetében valamilyen alkalmazás ellen irányuló támadást 2020-ban. • A termeléshez szükséges alkalmazások 70 százaléka privát felhőben vagy egy nyilvános felhőszolgáltató környezetében fut, tehát nem vállalati adatközpontokban. A fejlesztés alatt álló alkalmazások azonban kisebb valószínűséggel vannak hosztolva nyilvános felhőben. • A szervezetek 57 százaléka már használ konténerbe helyezett alkalmazásokat, mégis a válaszadók 52 százaléka úgy véli, hogy a konténeresítés nem jár pénzügyi előnyökkel. • A magasabb beosztású válaszadók többsége meg van győződve arról, hogy az új technológiák azonos vagy magasabb szintű alkalmazásbiztonságot tesznek lehetővé, ám a válaszadók bizalmi szintje attól függően változik, hogy biztonsági fókuszú beosztásban dolgoznak, vagy sem. • A szervezetek 92 százalékában a biztonsági személyzetnek nincs beleszólása a folyamatos integrációs/telepítési (CI/CD) architektúrákba, de ettől függetlenül elvárják tőlük a megfelelő védelmet. A szervezetek 98 százalékában a biztonsági megoldások költségvetéséről nem az IT-biztonsági csapat dönt.
Most már az API-k vannak a legnagyobb veszélyben • A könnyen gyártható, egyszerűen használható API-k felgyorsítják az alkalmazásfejlesztést, ugyanakkor a legtöbbjük érzékeny adatokat továbbít a rendszerek között. A szervezetek csaknem 40 százalékánál az alkalmazások több mint fele API-k révén, az interneten vagy külső szolgáltatásokon keresztül kommunikál. • A szervezetek egyre nagyobb aggodalommal figyelik az API-k biztonságát. 55 százalékuk kiemelkedő prioritásúnak tekinti, míg 59 százalékuk 2021-ben jelentős költségeket áldozna erre a területre. A vállalatok nincsenek kellőképpen felvértezve a bot forgalom kezelésére • 82 százalékuk lett már bot támadás áldozata. • Az illegitim bot aktivitás észlelésére és kivédésére szánt céleszközöket a szervezetek csupán 25 százaléka használja. A válaszadók szerint az összes támadástípust figyelembe véve a bot támadásoknak van a legnagyobb esélyük a sikerre, ám csupán a megkérdezettek 39 százaléka bízik abban, hogy kellően fel van szerelkezve a kifinomult bot támadások kivédésére. A DDoS támadások továbbra is rendkívül gyakoriak és egyre gyakrabban veszik célba az alkalmazásokat • A szolgáltatásmegtagadással járó támadások kezdetben a hálózati rétegben jelentkeztek, de ma már a DDoS támadási vektorok leggyakrabban az alkalmazásokra irányulnak. A megkérdezettek 89 százaléka már tapasztalt támadást a webapplikációk ellen, e támadások harmada heti rendszerességű. A DDoS akciók az alkalmazási rétegben leggyakrabban a HTTP/S flooding típusba tartoznak. • A felmérésben résztvevők 80 százaléka számolt be arról, hogy kára is származott az alkalmazásai ellen indított DoS támadások miatt.
Az alkalmazásfejlesztés nem tart lépést az alkalmazásbiztonsággal
Az alkalmazások támadási felülete jóval kiterjedtebb lett, hiszen a komplexitással új sebezhető pontok bukkannak fel. A fejlesztők alkalmazásprogramozási interfészek (API-k) révén teremtenek kapcsolatot a szoftverek között az adatmegosztás és a funkcionalitás bővítése érdekében. Ugyanakkor éppen az API-k jelentik a legsebezhetőbb behatolási pontot a hálózatokat megcélzó rosszindulatú szereplők számára, mivel a vállalatok láthatóan nem készültek fel ezeknek a veszélyeknek a kezelésére. A Radware az alkalmazás- és API-biztonság aktuális helyzetének feltárása érdekében egy kutatás erejéig összeállt az Osterman Research-csel. A felmérés során a két szervezet több mint 200, közepes és nagy vállalatban dolgozó szakember válaszait gyűjtötte be a világ minden tájáról és a legkülönfélébb iparágakból. Az elkészült jelentés összefoglalja a szervezetek alkalmazásbiztonsággal kapcsolatos tudatossági szintjét, a vakfoltokat, gyakorlatokat és stratégiákat. Bemutat felhasználási eseteket és üzleti előnyöket, megvizsgálja, hogyan látják a különféle szakmák az alkalmazásbiztonságot, illetve feltárja a biztonsági döntések üzleti hatásait. A kutatás kiemelt figyelmet fordít az API-biztonságra, hogy világosabb legyen az üzleti célok és a biztonsági kockázatok között feszülő ellentét a különféle alkalmazásfejlesztési és gyártási környezetek tekintetében.
A legfontosabb kutatási eredmények
Az alkalmazásfejlesztés és -kézbesítés aktuális helyzete • A válaszadók 98 százaléka tapasztalt a szervezetében valamilyen alkalmazás ellen irányuló támadást 2020-ban. • A termeléshez szükséges alkalmazások 70 százaléka privát felhőben vagy egy nyilvános felhőszolgáltató környezetében fut, tehát nem vállalati adatközpontokban. A fejlesztés alatt álló alkalmazások azonban kisebb valószínűséggel vannak hosztolva nyilvános felhőben. • A szervezetek 57 százaléka már használ konténerbe helyezett alkalmazásokat, mégis a válaszadók 52 százaléka úgy véli, hogy a konténeresítés nem jár pénzügyi előnyökkel. • A magasabb beosztású válaszadók többsége meg van győződve arról, hogy az új technológiák azonos vagy magasabb szintű alkalmazásbiztonságot tesznek lehetővé, ám a válaszadók bizalmi szintje attól függően változik, hogy biztonsági fókuszú beosztásban dolgoznak, vagy sem. • A szervezetek 92 százalékában a biztonsági személyzetnek nincs beleszólása a folyamatos integrációs/telepítési (CI/CD) architektúrákba, de ettől függetlenül elvárják tőlük a megfelelő védelmet. A szervezetek 98 százalékában a biztonsági megoldások költségvetéséről nem az IT-biztonsági csapat dönt.
A legfőbb fenyegetések
Most már az API-k vannak a legnagyobb veszélyben • A könnyen gyártható, egyszerűen használható API-k felgyorsítják az alkalmazásfejlesztést, ugyanakkor a legtöbbjük érzékeny adatokat továbbít a rendszerek között. A szervezetek csaknem 40 százalékánál az alkalmazások több mint fele API-k révén, az interneten vagy külső szolgáltatásokon keresztül kommunikál. • A szervezetek egyre nagyobb aggodalommal figyelik az API-k biztonságát. 55 százalékuk kiemelkedő prioritásúnak tekinti, míg 59 százalékuk 2021-ben jelentős költségeket áldozna erre a területre. A vállalatok nincsenek kellőképpen felvértezve a bot forgalom kezelésére • 82 százalékuk lett már bot támadás áldozata. • Az illegitim bot aktivitás észlelésére és kivédésére szánt céleszközöket a szervezetek csupán 25 százaléka használja. A válaszadók szerint az összes támadástípust figyelembe véve a bot támadásoknak van a legnagyobb esélyük a sikerre, ám csupán a megkérdezettek 39 százaléka bízik abban, hogy kellően fel van szerelkezve a kifinomult bot támadások kivédésére. A DDoS támadások továbbra is rendkívül gyakoriak és egyre gyakrabban veszik célba az alkalmazásokat • A szolgáltatásmegtagadással járó támadások kezdetben a hálózati rétegben jelentkeztek, de ma már a DDoS támadási vektorok leggyakrabban az alkalmazásokra irányulnak. A megkérdezettek 89 százaléka már tapasztalt támadást a webapplikációk ellen, e támadások harmada heti rendszerességű. A DDoS akciók az alkalmazási rétegben leggyakrabban a HTTP/S flooding típusba tartoznak. • A felmérésben résztvevők 80 százaléka számolt be arról, hogy kára is származott az alkalmazásai ellen indított DoS támadások miatt.
A mobil appok sokkal sérülékenyebbek A mobilalkalmazások kritikus szerepet játszottak 2020-ban, hiszen az IT-szakemberek többsége home-office-ba kényszerült, ezért a munkavégzéshez, tanuláshoz, szórakozáshoz, kapcsolattartáshoz és egyéb aktivitásokhoz ezekre az alkalmazásokra kellett támaszkodniuk. Viszont a mobilappok általában véve is jóval kevésbé biztonságosak. • A szervezetek jelentős hányada nem úgy kezeli a mobilappok biztonságát, mint a webalkalmazások biztonságát.
A mobilapplikációk mindössze 36 százaléka rendelkezik teljeskörűen integrált biztonsági megoldással a fejlesztési életciklusuk folyamán, és jelentős részüknek (22%) vagy nincs semmilyen biztonsága, vagy csak járulékos („bolted-on”) biztosággal rendelkeznek (42%). Mivel a mobilappokat jellemzően külső gyártók fejlesztik, az érzékeny adataikat féltő vállalatoknak tisztában kell lenniük a biztonságos fejlesztési gyakorlatokkal. A nyilvános felhőre történő migráció bizalmi kérdéseket vet fel • A kutatásban részt vevők mindössze 27 százaléka bízik meg „teljes mértékben” a felhőszolgáltatójuk által kínált biztonsági megoldásban. • A nyilvános felhőt használók 47 százaléka egynél több szolgáltatóval hosztoltatja az üzemeléshez szükséges alkalmazásait. • A nyilvános felhőre történő áttérés gyakran félreértéseket szül és bizalmi kérdéseket vet fel az alkalmazásbiztonság tekintetében. A kutatás feltárta, hogy a nyilvános felhő fokozottabb használatával párhuzamosan csökken a robusztus biztonságba vetett bizalom. • A szervezetek 37 százaléka nem tud potenciális adatszivárgásról, ami a láthatóság hiányának és a vakfoltok meglétének tényét erősíti.
A mobilapplikációk mindössze 36 százaléka rendelkezik teljeskörűen integrált biztonsági megoldással a fejlesztési életciklusuk folyamán, és jelentős részüknek (22%) vagy nincs semmilyen biztonsága, vagy csak járulékos („bolted-on”) biztosággal rendelkeznek (42%). Mivel a mobilappokat jellemzően külső gyártók fejlesztik, az érzékeny adataikat féltő vállalatoknak tisztában kell lenniük a biztonságos fejlesztési gyakorlatokkal. A nyilvános felhőre történő migráció bizalmi kérdéseket vet fel • A kutatásban részt vevők mindössze 27 százaléka bízik meg „teljes mértékben” a felhőszolgáltatójuk által kínált biztonsági megoldásban. • A nyilvános felhőt használók 47 százaléka egynél több szolgáltatóval hosztoltatja az üzemeléshez szükséges alkalmazásait. • A nyilvános felhőre történő áttérés gyakran félreértéseket szül és bizalmi kérdéseket vet fel az alkalmazásbiztonság tekintetében. A kutatás feltárta, hogy a nyilvános felhő fokozottabb használatával párhuzamosan csökken a robusztus biztonságba vetett bizalom. • A szervezetek 37 százaléka nem tud potenciális adatszivárgásról, ami a láthatóság hiányának és a vakfoltok meglétének tényét erősíti.
Az alkalmazásbiztonság kilátásai rövidtávon
• Az alkalmazásbiztonság kezelésével kapcsolatos fő aggályok a cross-platform szabályok létrehozása és az események láthatósága körül merülnek fel. • Az API-kat megcélzó visszaélések rövid távon a legnagyobb veszélyt, így a leginkább fejlesztendő biztonsági területet is fogják jelenteni. • A szervezetek 55 százaléka jelentette, hogy 2021-ben kiemelkedő vagy a legkiemelkedőbb prioritásúnak jelölik az alkalmazás- és API-biztonságot. • A válaszadók 59 százaléka jelentette, hogy 2021-ban beruháznak vagy jelentős mértékben beruháznak az API-védelembe annak érdekében, hogy kezeljék a platformokon átívelő konzisztens biztonsággal és a fenyegetések láthatóságával kapcsolatos aggályaikat. A Radware előrejelzései és következtetései
• A felhőfoglalási roham 2021-ben tovább ront az alkalmazásbiztonság helyzetén • Az automatizáció és az orkesztráció jelenti a legadekvátabb védelmet • Az internet egy nagy, összekapcsolt szolgáltatásgyárrá válik • Az alkalmazásbiztonság Achilles-ínját az API-k fogják jelenteni • Az emberi hibák gyakoribbak és költségesebbek lesznek
Forrás:
https://www.radware.com/2020-application-security/
Töltse le a kutatást összefoglaló, 28 oldalas, részletes, szemléletes és egy esettanulmányt is tartalmazó jelentést!
Kapcsolódó tartalom:
AppSec Infografika Radware Research: API Abuse is a Leading Threat; Enterprises are Unprepared for Bot Traffic
Kapcsolódó webinárium:
Védje meg alkalmazásait és API-jait az üzleti siker érdekében
Kapcsolódó képzés:
A Radware története és megoldásai DDoS védelem a DefensePro-val A DefensePro működésének bemutatása DDoS támadásszimulációval Alkalmazásszintű tűzfal megoldás az AppWall-lal Radware – Botok elleni védekezés a Bot Manager-rel
Kapcsolódó hírek
2025. szeptember 24.
