Cloudflare’e göre güvenlik ekipleri, kuruluşların günümüzün en çok kullanılan sitelerinin temelini oluşturan teknoloji olan modern uygulamalara olan bağımlılığının oluşturduğu risklerle başa çıkmakta zorlanıyor.
Raporda, yazılım tedarik zincirindeki sorunlardan kaynaklanan tehditlerin hacminin, dağıtılmış hizmet engelleme (DDoS) saldırılarının ve kötü amaçlı botların sayısının artmasıyla birlikte, çoğu zaman özel uygulama güvenlik ekiplerinin kaynaklarını aştığı vurgulanıyor.
Web uygulamaları ve API’ler, e-ticaret sitelerinin ödemeleri kabul etmesini, sağlık sistemlerinin hasta verilerini güvenli bir şekilde paylaşmasını ve telefonlarımızda yaptığımız aktiviteleri desteklemesini sağlar. Ancak, bu uygulamalara ne kadar çok güvenirsek, saldırı yüzeyi o kadar genişler.
Bu, geliştiricilerin yeni özellikleri hızla sunma talebiyle daha da büyütülüyor; örneğin, üretken yapay zeka tarafından yönlendirilen yetenekler. Ancak, korumasız, istismar edilen uygulamalar işletmelerin bozulmasına, mali kayıplara ve kritik altyapının çökmesine yol açabilir.
Cloudflare CEO’su Matthew Prince, “Web uygulamaları nadiren güvenlik düşünülerek oluşturulur. Yine de, bunları her gün her türlü kritik işlev için kullanıyoruz ve bu da onları bilgisayar korsanları için zengin bir hedef haline getiriyor” dedi.
DDoS saldırılarının sayısı ve hacmi artmaya devam ediyor
DDoS, Cloudflare tarafından hafifletilen tüm uygulama trafiğinin %37,1’ini oluşturan web uygulamalarını ve API’leri hedef alan en çok kullanılan tehdit vektörü olmaya devam ediyor. En çok hedef alınan sektörler oyun ve kumar, BT ve İnternet, kripto para birimi, bilgisayar yazılımı ve pazarlama ve reklamcılıktı.
Cloudflare, yeni sıfırıncı gün açıklarının her zamankinden daha hızlı istismar edildiğini gözlemledi; bunlardan biri, kavram kanıtının (PoC) yayınlanmasından yalnızca 22 dakika sonra gerçekleşti.
Tüm trafiğin %31,2’si botlardan kaynaklanıyor ve bunların %93’ü doğrulanmamış ve potansiyel olarak kötü niyetli. En çok hedeflenen sektörler imalat ve tüketim malları, kripto para, güvenlik ve soruşturmalar ve ABD Federal Hükümetiydi.
Olumsuz bir güvenlik modeli kullanan geleneksel web uygulama güvenlik duvarı (WAF) kuralları (çoğu web trafiğinin iyi huylu olduğu varsayımı) en yaygın olarak API trafiğine karşı koruma sağlamak için kullanılır. Çok daha az kuruluş, izin verilen trafiğe ilişkin katı tanımlar ve geri kalanını reddeden, daha yaygın olarak kabul gören olumlu bir güvenlik modeli olan API güvenliği en iyi uygulamasını kullanır.
Üçüncü taraf yazılım bağımlılıkları giderek artan bir risk oluşturuyor
Kuruluşlar, web sitesi verimliliğini ve performansını artırmaya yardımcı olmak için üçüncü taraf sağlayıcılardan ortalama 47,1 kod parçası kullanır ve üçüncü taraf kaynaklarına ortalama 49,6 giden bağlantı yapar; örneğin, Google Analytics veya Reklamlardan yararlanır. Ancak web geliştirme büyük ölçüde bu tür üçüncü taraf kod ve etkinliklerin bir kullanıcının tarayıcısına yüklenmesine izin verecek şekilde değiştiğinden, kuruluşlar tedarik zinciri riskine ve sorumluluk ve uyumluluk endişelerine giderek daha fazla maruz kalmaktadır.
Sıfır gün açıkları artarken, açıklanan CVE’lerin silaha dönüştürülme hızı da artıyor. 2023’te 97 sıfır gün açığı doğada kullanıldı ve 2022 ile 2023 yılları arasında açıklanan CVE sayısı %15 arttı.
2023 yılında 5.000’den fazla kritik güvenlik açığı açıklandı, ancak kritik öneme sahip bir web uygulaması güvenlik açığı için yama yayınlamanın ortalama süresi 35 gündür.
İşletmeler genellikle SaaS uygulamalarını, web uygulamalarını ve diğer BT altyapılarını bağlamayı ve korumayı zorlaştıran, güvenlik için eski ve noktasal ürünlerden oluşan dağınık bir patchwork’e sahiptir. BT yayılması, saldırganların güvenlik açıklarını bulmasını ve bunlardan faydalanmasını kolaylaştırır.