Novo relatório sobre o estado de segurança das aplicações alerta para ciberataques
São Paulo 28/1/2021 –
Aplicações estão em risco de ataques cibernéticos após uma migração acelerada para a nuvem em 2020.
De acordo com pesquisa realizada com 205 tomadores de decisão e influenciadores em organizações que possuem pelo menos 1.000 funcionários, as organizações globais estão se esforçando para manter um nível consistente de segurança de suas aplicações em várias plataformas e também estão perdendo visibilidade com o surgimento de novas arquiteturas e a adoção de APIs (Application Program Interfaces).
A pesquisa, realizada pela Osterman Research a pedido da Radware, fornecedora de soluções de segurança cibernética, mostra que um fator importante foi a necessidade de se adaptar rapidamente a um novo modelo remoto de trabalho e engajamento do cliente, resultante da pandemia, deixando pouco ou nenhum tempo para os tomadores de decisão realizarem um planejamento adequado em torno da segurança.”Com a rápida migração para a nuvem em 2020, ficamos surpresos ao ver a disseminação, em muitas organizações, de níveis perigosos de insegurança em aplicações móveis e baseadas em nuvem, bem como em APIs”, explica Michael Osterman, da Osterman Research.
“Com mais de 70% dos entrevistados relatando que suas aplicações de produção já deixaram o data center, garantir a segurança e a integridade desses dados e aplicações está se tornando cada dia mais desafiador, particularmente em ambientes multi-nuvem”, disse Gabi Malka, Chief Operating Officer da Radware. “Essa migração, em combinação com uma maior dependência de APIs e a inclusão de aplicações móveis não seguras, facilitou muito a vida dos criminosos, deixando-os à frente na curva da cibersegurança. Embora os entrevistados que já se mudaram para a nuvem pública e tenham várias aplicações expostas às APIs pareçam entender os riscos, aqueles que não entenderam parecem agir de forma perigosamente complacente.”
Entre as descobertas específicas do relatório, destacam-se:
As APIs representam a próxima grande ameaça
Há uma crescente dependência de aplicações habilitadas para a Web em forma de APIs. Uma grande variedade de tipos de dados confidenciais é processada por APIs, como credenciais de usuários, informações de pagamentos, CPFs, etc. É provável que os abusos de APIs se tornem o vetor de ataque mais frequente. Por esse motivo, a segurança da API é o ponto mais crítico que as empresas devem corrigir em 2021.
Cerca de 40% das organizações entrevistadas relataram que mais da metade de suas aplicações estão expostas à internet ou serviços de terceiros via APIs. Cerca de 55% das organizações experimentam um ataque DoS contra suas APIs ao menos uma vez por mês, 49% experimentam algum tipo de ataque de injeção ao menos uma vez por mês e 42% experimentam uma manipulação de elementos/atributos ao menos uma vez por mês.
As companhias não estão preparadas para o tráfego de bots
A gestão de bots também se tornou uma grande preocupação, porque as empresas não estão preparadas para gerenciar adequadamente o tráfego de bots. Enquanto os firewalls de aplicação web oferecem importantes recursos de defesa, que detectam e previnem ataques contra APIs e similares, as ferramentas de gerenciamento de bots oferecem uma defesa robusta contra ataques sofisticados de bots, além de fornecer para as equipes de segurança uma melhor compreensão sobre como lidar com a grande variedade de ameaças e ataques.
O relatório revelou que apenas 24% das organizações têm uma solução dedicada para distinguir entre um usuário real e um bot. Além disso, apenas 39% dos entrevistados têm confiança em sua compreensão do que está acontecendo com bots sofisticados e maliciosos.
Aplicações móveis muito menos seguras
As aplicações móveis desempenharam um papel crítico durante 2020, já que a maioria dos profissionais da informação foi transferida para o trabalho em casa, com a maioria deles utilizando aplicações móveis para entretenimento, interação social, educação e compras.
Esta pesquisa constatou que apenas 36% das aplicações móveis têm segurança totalmente integrada, e uma grande proporção tem segurança mínima ou nenhuma segurança (22%). Como resultado, até que a segurança das aplicações móveis seja tratada seriamente, é possível acontecerem cada vez mais, e de forma mais séria, incidentes que usam o canal móvel para ataques. Isso provavelmente colocará mais pressão sobre as empresas para proteger aplicações móveis e não deixar os dados dos consumidores expostos a hackers.
A equipe de segurança não é a principal tomadora de decisões
Apesar das ameaças descritas no relatório, a segurança não é prioridade nas práticas de desenvolvimento de aplicações. Em aproximadamente 90% das organizações pesquisadas, a equipe de segurança não é o principal influenciador na arquitetura de desenvolvimento de aplicações, nem no orçamento. Cerca de 43% das empresas pesquisadas disseram que a segurança não deve interromper a automação completa do ciclo de lançamento. Isso cria uma situação em que as próprias pessoas responsáveis pela segurança têm pouco controle sobre como as aplicações são desenvolvidas.
Ataques DDoS não estão diminuindo
O ataque bot mais comum é o de negação de serviço (DoS), em diferentes formatos. Cerca de 86% disseram ter sofrido esse ataque, com um terço deles relatando ocorrências semanais e 5% observando eventos diariamente. A negação de serviço na camada de aplicação ocorre frequentemente na forma de inundações HTTP/S. Quase 60% das organizações experimentam uma inundação HTTP pelo menos uma vez por mês ou mais.
Metodologia
A Radware contratou a Osterman Research para realizar uma pesquisa com 205 tomadores de decisão e influenciadores em organizações que possuem pelo menos 1.000 funcionários. A média dos funcionários entrevistados nas organizações foi de 2.200. As funções primárias dos indivíduos pesquisados incluem segurança de rede, DevOps/DevSecOps, operações de rede e funções relacionadas, desenvolvimento de aplicações, segurança de aplicações e várias outras funções relacionadas à TI. A maioria dos entrevistados está em cargos de alta gestão, incluindo cargos executivos.
O relatório completo está disponível em: https://www.radware.com/resources/complete-protection/