Uit het State of Application Security 2024 Report van Cloudflare blijkt dat beveiligingsteams moeite hebben om zich te wapenen tegen de risico's die worden veroorzaakt door de mate waarin organisaties afhankelijk zijn van moderne applicaties, oftewel de technologie waar alle meest gebruikte sites van dit moment mee gebouwd zijn. Het rapport onderstreept dat de teams verantwoordelijk voor applicatiebeveiliging niet opgewassen zijn tegen de hoeveelheid dreigingen als gevolg van problemen in de supply chain van software, het groeiende aantal DDoS-aanvallen en de toename in kwaadaardige bots, omdat ze over onvoldoende middelen beschikken.
De digitale wereld van nu draait op webapplicaties en API's. Apps en API's maken het mogelijk dat e-commercewebsites betalingen aannemen, zorgsystemen patiëntengegevens veilig delen en wij onze telefoons kunnen gebruiken voor allerlei activiteiten. Maar hoe meer we op deze applicaties vertrouwen, hoe meer het aanvalsoppervlak uitbreidt. Dit effect is nog sterker door de vraag aan ontwikkelaars om snel nieuwe functies te leveren, bijvoorbeeld functies op basis van generatieve AI. Maar als ze niet beveiligd zijn, kan uitbuiting van applicaties leiden tot verstoringen in de bedrijfscommunicatie, financiële verliezen en het instorten van essentiële infrastructuur.
Enkele van de belangrijkste conclusies:
-
DDoS-aanvallen blijven in aantal en volume toenemen: DDoS blijft de meest ingezette methode waarmee webapplicaties en API's worden aangevallen. DDoS-aanvallen vormen 37,1% van al het applicatieverkeer dat Cloudflare tegenhoudt. Branches als gaming en gokken, IT en internet, cryptocurrency, computersoftware en marketing en reclame zijn het vaakst doelwitten.
-
De eerste die patcht versus de eerste die uitbuit – de race tussen verdedigers en aanvallers versnelt: Cloudflare observeert dat nieuwe zero-day-kwetsbaarheden sneller dan ooit uitgebuit worden. Slechts 22 minuten na publicatie van de proof-of-concept (PoC) vond er alweer een geval van uitbuiting plaats.
-
Slechte bots kunnen voor enorme verstoringen zorgen als ze niet in de hand worden gehouden: een derde (31,2%) van al het verkeer komt van bots. De meerderheid (93%) daarvan is ongeverifieerd en mogelijk kwaadaardig. De branches die het vaakst worden aangevallen, zijn productie en consumentengoederen, cryptocurrency, beveiliging en onderzoeken, en de federale overheid van de VS.
-
Organisaties gebruiken achterhaalde methodes om API's te beveiligen: traditionele web application firewall (WAF)-regels die een negatief beveiligingsmodel gebruiken (de veronderstelling dat het meeste online verkeer bona fide is), worden het meest ingezet als bescherming tegen API-verkeer. Veel minder organisaties gebruiken de meer gangbare beste API-beveiligingspraktijk in de vorm van een positief beveiligingsmodel. Daarbij wordt een strenge definitie gehanteerd van welk verkeer toegestaan is, en de rest wordt afgewezen.
-
Afhankelijkheid van software van derden vormt een groeiend risico: organisaties gebruiken gemiddeld 47,1 stukken code van externe leveranciers en maken gemiddeld 49,6 uitgaande verbindingen met externe bronnen om de efficiëntie en prestaties van websites te verbeteren, bijvoorbeeld door gebruik te maken van Google Analytics of Ads. Maar omdat dit soort externe code en activiteiten tegenwoordig grotendeels in de browser van de gebruiker wordt geladen, staan organisaties steeds meer bloot aan risico's in de supply chain en op het gebied van aansprakelijkheid en naleving.
"Web-apps en API's zijn zelden gebouwd met het oog op veiligheid. Toch gebruiken we ze elke dag voor allerlei kritieke taken. Daardoor zijn ze een uitgelezen doelwit voor hackers", zegt Matthew Prince, medeoprichter en CEO van Cloudflare. "Het netwerk van Cloudflare blokkeert gemiddeld 209 miljard cyberdreigingen per dag voor onze klanten. De beveiligingslaag rondom moderne applicaties is een van de belangrijkste puzzelstukjes geworden om het internet veilig te houden."