Radware-Studie: Vermeidbare Angriffe auf Web-Anwendungen
Schwierige Datenintegrität in der Multi-Cloud
Globale Unternehmen haben Schwierigkeiten, eine konsistente Anwendungssicherheit über mehrere Plattformen hinweg aufrechtzuerhalten. Zudem verlieren sie mit dem Aufkommen neuer Architekturen und der Einführung von APIs (Application Program Interfaces) an Transparenz. Dies sind die zentralen Ergebnisse von Radwares "2020-2021 State of Web Application Security Report", einer Umfrage unter zirka 200 Entscheidungsträgern, 67 davon aus DACH, Frankreich und UK, aus Unternehmen mit mehr als 1.000 Mitarbeitern. Hintergrund dieser Entwicklung ist die Notwendigkeit, sich schnell auf ein neues Modell für Remote-Arbeit und Kundenkontakt einzustellen, die aus der Pandemie resultierte.
Apps spielen derzeit eine entscheidende Rolle, da die meisten Mitarbeiter zu Hause arbeiten und Apps für Unterhaltung, soziale Interaktion, Bildung und Einkäufe nutzen. Allerdings ist die Entwicklung von Apps laut Radware sehr unsicher. Dies sei zum Teil darauf zurückzuführen, dass häufig Dritte Apps entwickeln. Die Untersuchung ergab, dass 36 Prozent der Apps über vollständig integrierte Sicherheitsfunktionen verfügen und ein großer Teil entweder minimale oder gar keine Sicherheitsfunktionen (22 Prozent) hat. Solange Unternehmen die Sicherheit von Apps nicht ernst nehmen, erwartet Radware mehr Vorfälle, die den mobilen Kanal für Angriffe nutzen. Das wiederum wird laut Radware-Einschätzung den Druck auf Unternehmen erhöhen, mobile Apps abzusichern, um Kundendaten nicht Hackern auszuliefern.
Die Abhängigkeit von und das Vertrauen in Web-fähige Anwendungen in Form von APIs nimmt zu. APIs verarbeiten eine Vielzahl sensibler Datentypen, zum Beispiel Zugangsdaten und Zahlungsinformationen. Radwares Security-Spezialisten erwarten, dass API-Missbrauch der häufigste Angriffsvektor wird. Fast 40 Prozent der befragten Unternehmen gaben an, dass mehr als die Hälfte ihrer Anwendungen über APIs mit dem Internet oder Diensten Dritter verbunden sind. Etwa 55 Prozent der Unternehmen erleben mindestens einmal im Monat einen Angriff gegen ihre APIs und 49 Prozent sind mindestens einmal im Monat einer Form von Injektionsangriff ausgesetzt.
Laut der Radware-Studie ist auch das Bot-Management ein Problem, weil Unternehmen nicht darauf vorbereitet sind, den Bot-Verkehr richtig zu verwalten. Während Web Application Firewalls wichtige Verteidigungsfunktionen bieten, um Angriffe auf APIs zu erkennen und zu verhindern, bieten Bot-Management-Tools eine robuste Verteidigung gegen Bot-Angriffe. Sie geben Sicherheitsteams ein besseres Verständnis für den Umgang mit einer Vielzahl von Bedrohungen und Angriffen. Radwares Umfrage ergab, dass 24 Prozent der Unternehmen über eine spezielle Lösung verfügen, um zwischen einem echten Benutzer und einem Bot zu unterscheiden.
Trotz der im Bericht dargestellten Bedrohungen hat die Sicherheit bei der Anwendungsentwicklung nicht die höchste Priorität. In zirka 90 Prozent der befragten Unternehmen können Sicherheitsverantwortliche nicht über die Architektur der Anwendungsentwicklung oder das Budget entscheiden. Etwa 43 Prozent der befragten Unternehmen gaben an, dass die Integration von Sicherheitsmechanismen die End-to-End-Automatisierung des Release-Zyklus nicht unterbrechen sollte. Dies führt zu einer Situation, in der die für Security verantwortlichen Personen nur wenig Einfluss auf die Entwicklung von Anwendungen haben.
Die häufigste Bot-Attacke ist DDoS, wobei hier unterschiedliche Formen anzutreffen sind. Etwa 86 Prozent gaben an, einen solchen Angriff erlebt zu haben, wobei ein Drittel von ihnen von wöchentlichen und fünf Prozent von täglichen Vorkommnissen berichten.
Weitere Informationen stehen unter www.radware.com zur Verfügung.
Lesen Sie mehr zum Thema
