מחקר: אבטחת יישומים – איום הסייבר הגדול ביותר

סוגיות אבטחה של יישומי אינטרנט מהוות את רוב איומי הסייבר בחצי העשור האחרון, כך לפי מחקר חדש של מעבדות F5. הדו"ח מצא גם כי אירועי סייבר ומתקפות על יישומי אינטרנט התגלו תוך פרק זמן ארוך כמעט פי ארבעה יחסית לאירועים קיצוניים אחרים.

החוקרים ניתחו את דו"ח IRIS 20/20 Xtreme – שבחן את מאה ההפסדים הכספיים הגדולים ביותר שנבעו בשל מתקפות סייבר בחמש השנים האחרונות – בהיקף של 18 מיליארד דולר ו-10 מיליארד רשומות שנפרצו. עוד הם ניתחו את דו"ח הפריצות והפרצות של ורייזון (Verizon).

הדו"ח של מעבדות F5 מצא, כי התקפות יישומי אינטרנט היו דפוס האירועים המוביל בקרב אירועי הפריצות לנתונים בשש מתוך שמונה השנים האחרונות. בנוסף, יותר ממחצית (56%) מכלל אירועי אבטחת התוכנה הגדולים ביותר שנחוו בחמש השנים האחרונות מקורם בסוגיות אבטחה של יישומי אינטרנט.

החוקרים גילו, כי שתי השיטות המובילות לקבלת גישה ראשונית הסתמכו על ניצול יישומי אינטרנט הפונים לציבור. כך, 12% משחקני האיום מנצלים יישומים מבוססי אינטרנט הפונים לציבור, ואילו 42% מהם מנצלים חשבונות משתמשים תקפים ביישומי האינטרנט, כדי לפגוע באופן ממוקד בארגונים.

באופן לא מפתיע, 57% מכלל ההפסדים כתוצאה מאירועי האבטחה הגדולים ביותר של יישומי אינטרנט מקורם בשחקנים המזוהים עם מדינות. כמעט אחד מכל חמישה אירועי אבטחה גדולים של יישומי אינטרנט יוחס לתוקפים המזוהים עם מדינות, עם הפסדים בהיקף של 4.3 מיליארד דולר.

הדו"ח מצא גם, כי פרק הזמן שארך לגלות אירועי אבטחה של יישומי אינטרנט עמד על 254 ימים, לעומת 71 ימים לאירועי קיצון אחרים.

בדו"ח צוין, כי אין הסכמה בין המומחים לגבי הסוג הנפוץ ביותר של פגיעויות באינטרנט. עם זאת, פגיעויות של הזרקת (SQLi) SQL ו-XSS (ר"ת cross-site scripting) – דורגו במקום הגבוה ביותר.

כך, השכיחות של התקפות SQLi נעה בין 15% ל-76% ואילו התקפות XSS נעו בין 4% ל-54%. בנוסף, מדי שנה עלה שיעור המתקפות. פגיעויות נפוצות אחרות כוללות אותנטיקציה לקויה, חשיפת נתונים רגישים, קונפיגורציה מוטעית של אבטחה ובקרת גישה לקויה.

לפי חוקרי F5, אבטחת יישומי האינטרנט נותרה אתגר: החוקרים אמרו, כי ניסיונות לשיפור אבטחת יישומי האינטרנט נכשלו עד כה, למרות ניסיונות לאמץ סטנדרטים פתוחים שונים. "ברור שחלקם ניסו לעשות זאת על ידי אימוץ מסגרות פגיעות סטנדרטיות, אולם לעתים קרובות זה לא מתורגם טוב לצד ההתקפה", ציינו, "כאשר כמעט כל אחד מסוגל לפתח יישומי אינטרנט ולעשות זאת בלא ידע בקידוד, ולהשתמש בפלטפורמות הנגועות בפגיעויות – הרי שאבטחת יישומי האינטרנט תישאר אתגר גדול".