Cloud­flare heeft zijn State of Appli­ca­tion Security 2024 Report uitge­bracht. Inzichten uit dit rapport onthullen dat bevei­li­gings­teams moeite hebben om zich te wapenen tegen de risico’s die worden veroor­zaakt door de mate waarin organi­sa­ties afhan­ke­lijk zijn van moderne appli­ca­ties, oftewel de techno­logie waar alle meest gebruikte sites van dit moment mee gebouwd zijn. Het rapport onder­streept dat de teams verant­woor­de­lijk voor appli­ca­tie­be­vei­li­ging niet opgewassen zijn tegen de hoeveel­heid dreigingen als gevolg van problemen in de supply chain van software, het groei­ende aantal DDoS-aanvallen en de toename in kwaad­aar­dige bots, omdat ze over onvol­doende middelen beschikken. 

Apps en API’s

De digitale wereld van nu draait op webap­pli­ca­ties en API’s. Apps en API’s maken het mogelijk dat e‑commercewebsites betalingen aannemen, zorgsys­temen patiën­ten­ge­ge­vens veilig delen en wij onze telefoons kunnen gebruiken voor allerlei activi­teiten. Maar hoe meer we op deze appli­ca­ties vertrouwen, hoe meer het aanvals­op­per­vlak uitbreidt. Dit effect is nog sterker door de vraag aan ontwik­ke­laars om snel nieuwe functies te leveren, bijvoor­beeld functies op basis van genera­tieve AI. Maar als ze niet bevei­ligd zijn, kan uitbui­ting van appli­ca­ties leiden tot versto­ringen in de bedrijfs­com­mu­ni­catie, finan­ciële verliezen en het instorten van essen­tiële infrastructuur. 

Enkele van de belang­rijkste conclu­sies uit het State of Appli­ca­tion Security 2024 Report van Cloudflare:

• DDoS-aanvallen blijven in aantal en volume toenemen: DDoS blijft de meest ingezette methode waarmee webap­pli­ca­ties en API’s worden aange­vallen. DDoS-aanvallen vormen 37,1% van al het appli­ca­tie­ver­keer dat Cloud­flare tegen­houdt. Branches als gaming en gokken, IT en internet, crypto­cur­r­ency, compu­ter­soft­ware en marke­ting en réclame zijn het vaakst doelwitten.
• De eerste die patcht versus de eerste die uitbuit – de race tussen verde­di­gers en aanval­lers versnelt: Cloud­flare obser­veert dat nieuwe zero-day-kwets­baar­heden sneller dan ooit uitge­buit worden. Slechts 22 minuten na publi­catie van de proof-of-concept (PoC) vond er alweer een geval van uitbui­ting plaats.
• Slechte bots kunnen voor enorme versto­ringen zorgen als ze niet in de hand worden gehouden: een derde (31,2%) van al het verkeer komt van bots. De meerder­heid (93%) daarvan is ongeve­ri­fi­eerd en mogelijk kwaad­aardig. De branches die het vaakst worden aange­vallen, zijn productie en consu­men­ten­goe­deren, crypto­cur­r­ency, bevei­li­ging en onder­zoeken, en de federale overheid van de VS.
• Organi­sa­ties gebruiken achter­haalde methodes om API’s te bevei­ligen: tradi­ti­o­nele web appli­ca­tion firewall (WAF)-regels die een negatief bevei­li­gings­model gebruiken (de veron­der­stel­ling dat het meeste online verkeer bona fide is), worden het meest ingezet als bescher­ming tegen API-verkeer. Veel minder organi­sa­ties gebruiken de meer gangbare beste API-bevei­li­gings­prak­tijk in de vorm van een positief bevei­li­gings­model. Daarbij wordt een strenge definitie gehan­teerd van welk verkeer toege­staan is, en de rest wordt afgewezen.
• Afhan­ke­lijk­heid van software van derden vormt een groeiend risico: organi­sa­ties gebruiken gemid­deld 47,1 stukken code van externe leveran­ciers en maken gemid­deld 49,6 uitgaande verbin­dingen met externe bronnen om de effici­ëntie en presta­ties van websites te verbe­teren, bijvoor­beeld door gebruik te maken van Google Analy­tics of Ads. Maar omdat dit soort externe code en activi­teiten tegen­woordig groten­deels in de browser van de gebruiker wordt geladen, staan organi­sa­ties steeds meer bloot aan risico’s in de supply chain en op het gebied van aanspra­ke­lijk­heid en naleving. 

“Web-apps en API’s zijn zelden gebouwd met het oog op veilig­heid. Toch gebruiken we ze elke dag voor allerlei kritieke taken. Daardoor zijn ze een uitge­lezen doelwit voor hackers”, zegt Matthew Prince, medeop­richter en CEO van Cloud­flare. “Het netwerk van Cloud­flare blokkeert gemid­deld 209 miljard cyber­drei­gingen per dag voor onze klanten. De bevei­li­gings­laag rondom moderne appli­ca­ties is een van de belang­rijkste puzzel­stukjes geworden om het internet veilig te houden.”

Dit rapport is gebaseerd op verza­melde verkeers­pa­tronen (gemeten van 1 april 2023 tot en met 31 maart 2024) uit het volle­dige wereld­wijde netwerk van Cloud­flare. Deze gegevens en dreigings­in­for­matie uit het netwerk van Cloud­flare zijn aange­vuld met externe bronnen, zoals vermeld in het rapport. Cloud­flare voorkwam 6,8% van al het webap­pli­catie- en API-verkeer tijdens de periode waarin de gegevens verza­meld werden. Voorkomen verkeer wordt gedefi­ni­eerd als verkeer dat Cloud­flare heeft geblok­keerd of geveri­fi­eerd. Het speci­fieke dreigings­type en de toege­paste techniek om de dreiging te voorkomen zijn van veel factoren afhan­ke­lijk, zoals poten­tiële gaten in de bevei­li­ging van de app, in welke branche het slacht­offer actief is en de doelstel­lingen van de aanvaller. 

Foto: Austin Distel via Unsplash