Cloudflare, globalny dostawca usług internetowych, opublikował raport „State of Application Security 2024”, w którym ostrzega, że zasoby dedykowanych zespołów ds. bezpieczeństwa aplikacji są często zbyt małe, by radzić sobie ze wzrostem zagrożeń wynikających z problemów w łańcuchu dostaw oprogramowania, rosnącą liczbą ataków typu distributed denial of service (DDoS) oraz złośliwych botów.

Im bardziej organizacje polegają na aplikacjach webowych i interfejsach  API, tym bardziej powiększa się powierzchnia ataku. Zapotrzebowanie na szybkie dostarczanie nowych funkcji przez programistów – np. możliwości napędzanych przez generatywną sztuczną inteligencję – dodatkowo zwiększa to zagrożenie. Jeśli aplikacje nie są odpowiednio chronione, mogą prowadzić do zakłóceń w działalności firm, strat finansowych i problemów z infrastrukturą krytyczną.

Kluczowe wnioski z raportu Cloudflare „State of Application Security 2024”:

● Ataki DDoS nadal rosną w liczbie i skali. To najczęściej wykorzystywany wektor ataku dla aplikacji internetowych i interfejsów API, który stanowi 37,1% całego chronionego przez Cloudflare ruchu aplikacji. Najbardziej narażone branże to: gry i hazard, IT i internet, kryptowaluty, oprogramowanie oraz marketing i reklama.

● First to patch vs. first to exploit – wyścig między broniącymi się a atakującymi przyspiesza. Cloudflare zaobserwowało najszybsze w historii wykorzystanie nowych luk typu zero-day, w jednym przypadku było to zaledwie 22 minut po opublikowaniu PoC.

● Złośliwe boty mogą powodować ogromne zakłócenia. Według Cloudflare jedna trzecia (31,2%) całego ruchu pochodzi od botów, z czego większość (93%) to boty niezweryfikowane i potencjalnie złośliwe. Najbardziej narażone branże to: produkcja i dobra konsumpcyjne, kryptowaluty, służby i administracja.

● Organizacje stosują przestarzałe podejścia do zabezpieczania interfejsów API. Najczęściej wykorzystywane do ochrony przed ruchem API są klasyczne polityki zapór aplikacji webowych (WAF), które opierają się na modelu bezpieczeństwa zakładającym, że większość ruchu internetowego jest niegroźna. Znacznie mniej organizacji stosuje najlepsze praktyki bezpieczeństwa API oparte na modelu wykorzystującym ścisłe definicje dozwolonego ruchu i odrzucającym całą jego resztę.