Sponsorowany przez F5 raport[1] „The State of the State of Application Exploits in Security Incidents” wskazuje, że 56% incydentów cyberbezpieczeństwa w ostatnich pięciu latach było związanych z aplikacjami internetowymi. Aż 57% znanych, poniesionych w tym obszarze i okresie strat, przypisanych jest cyberprzestępcom powiązanym z państwami, a znana wielkość strat spowodowanych ich działaniami wyniosła 4,3 mld USD.
Exploity aplikacji internetowych – szkodliwe programy wykorzystujące luki w aplikacjach – stanowią obecnie największe zagrożenie cybernetyczne, przed którym stoją organizacje. Raport wskazuje, że 56% największych incydentów cyberbezpieczeństwa z ostatnich pięciu lat wiąże się z jakąś formą problemów z aplikacjami internetowymi. Reagowanie na te incydenty kosztowało w badanym okresie ponad 7,6 mld USD, co stanowi 42% wszystkich kosztów finansowych odnotowanych w przypadku „ekstremalnych zdarzeń związanych z cyberstratami”. Ataki na aplikacje internetowe były również wiodącym wzorcem incydentów wśród naruszeń danych przez sześć z ostatnich ośmiu lat.
Ponadto, wykorzystanie aplikacji dostępnych publicznie było techniką numer jeden lub dwa pośród zgłaszających ataki.[2] Raport wskazuje także, że średni czas do wykrycia incydentów wykorzystujących exploity aplikacji internetowych wynosił aż 254 dni – znacznie więcej niż średnia 71 dni dla innych badanych zdarzeń ekstremalnych powodujących straty.
Raporty analizowane na nasze zlecenie podchodzą do kwestii cyberzagrożeń w różny sposób: skupiają się na incydentach ale też na motywacji i taktykach atakujących, typach podatności czy technikach i procedurach (TTP). Pomimo tych różnic w podejściu analiza prowadzi do podobnych wniosków: ataki na aplikacje internetowe, przede wszystkim ataki uwierzytelniające i exploity internetowe, stanowią największe źródło ryzyka – Ray Pompon, dyrektor F5 Labs. Raport wskazuje również konsensus dla kluczowych zaleceń dotyczących środków bezpieczeństwa, które można podsumować w jednym zdaniu: naprawiaj swój kod, łataj systemy, podwajaj wiarygodność i uważaj na zaplecze (back door).
Wygląda na to, że wiele zespołów ds. bezpieczeństwa teoretycznie wie, co należy robić, jednak problemem jest zastosowanie tych zaleceń w praktyce. Trudność ze zdefiniowaniem takich zaleceń dla wszystkich organizacji wynika ze złożoności i różnic pomiędzy nimi – w obszarach modelu biznesowego, organizacyjnego, tolerancji ryzyka, poziomu zaawansowania technologicznego (śladu technologicznego) i tak dalej. Z tego powodu oczekiwana zmiana w modelu inteligentnej cyberochrony idzie w kierunku modelu wywiadu i wskazań dotyczących bezpieczeństwa. Zespoły ochrony tak naprawdę nie potrzebują podpowiedzi, „co” należy robić, lecz raczej „jak” odpowiednio chronić organizacje – podsumowuje Ray Pompon.
[1] Wieloźródłowa analiza zlecona przez F5 do The Cyentia Institute oparta jest na jest integracji, normalizacji i zestawianiu zróżnicowanych zbiorów danych, dlatego jest też unikalna dla rynku i znacząca – przewiduje wyzwania stojące przed organizacjami.
[2] Wszystkie źródła zgłaszające ataki do MITER ATT&CK® – bazą wiedzy na temat taktyk i technik cyberprzestępców, opartych na obserwacjach ze świata rzeczywistego.
