Współczesne aplikacje i strony internetowe są najczęsztym kanałem wymiany oraz przekazywania informacji, również w warstwie biznesowej.
Popularność aplikacji webowych oraz szeroko stosowana technologia w sposób bezpośredni wpływają na możliwość powstawania luk bezpieczeństwa, jak również potencjalnych wektorów ataku.
Konsekwencje wykonanego ataku są wprost proporcjonalne oraz zależne od krytyczności usługi świadczonej poprzez systemy webowe, wykonany atak w bezpośredni sposób zakłóca lub uniemożliwia realizowanie elementu biznesowego, który jest świadczony za pomocą web aplikacji..
Według niezależnych źródeł 86 % stron internetowych zawiera co najmniej jedną poważną lukę bezpieczeństwa
źródło: scmagazine.com 2015
Prawdopodobieństwo ataku na aplikacje internetowe znacząco wzrosło w ciągu ostatnich kilku lat.
W 2012 roku aplikacje internetowe były najbardziej podatne na ataki
Information Leakage-wyciek informacji (58% prawdopodobieństwa ataku ), lub ataki
Cross-Site Scripting, XSS ( 55% prawdopodobieństwa).
Jednak już
w 2014 roku, aplikacje były najbardziej narażone na
niedostateczną ochronę warstwy transportowej (70% prawdopodobieństwa ataku) oraz
Information Leakage - wyciek informacji ( 56% prawdopodobieństwa).
W 2015 roku niedostateczna ochrona warstwy transportowej - Insufficient Transport Layer Protection stanowiła największe zagrożenie dla aplikacji Internetowych
( 70% prawdopodobieństwa ataku ), kolejnym wektorem ataku było ryzyko
wycieku informacji - Information Leakage ( 56% prawdopodobieństwa ataku)
oraz ataki typu
Cross-Site Scripting (47 % prawdopodobieństwa ataku ). źródło: WhiteHat Security Statistics Report 2015 - whitehatsec.com
Prawdopobieństwo ataku dla aplikacji Internetowych w 2015 roku
Ilość rokrocznie wykrywanych luk bezpieczeństwa wciąż utrzymuje się na bardzo wysokim poziomie, w konsekwencji oprogramowanie oraz usługi, które stanowią podstawę do działania infrastruktury internetowej również bardzo często są bezpośrednio podatne na różne formy ataków.
Każdego miesiąca publikowane są łatki bezpieczeństwa dla serwerów webowych - Apache, IIS, systemów CMS - Joomla, WorldPress. Praktycznie każdy dostawca oprogramowania stanowiącego podstawę dla funkcjonowania infrastruktury internetowej jest dotknięty problemem podatności oraz zmuszony jest do publikowania łatek bezpieczeństwa. W konsekwencji nieaktualne oprogramowanie lub błędnie skonfigurowane stanowi bardzo częsty wektor udanych ataków na aplikacje internetowe.
Opublikowany raport pokazujący statystyki luk bezpieczeństwa na przestrzeni 25 lat, pokazuje jednoznacznie, że poziom wykrywanych luk bezpieczeństwa utrzymuje się na bardzo wysokim poziomie, co wpływa bezpośrednio na wysokie prawdopodobieństwo ataku na infrastrukturę internetową.
źródło : snort.org - Sourcefire Vulnerability Research Team - Sourcefire 25 Years of Vulnerabilities Research Report
Kluczowym aspektem zachowania ciągłości procesów biznesowych oraz uniknięcia włamania na infrastrukturę internetową jest świadomość zagrożeń, oraz szybki czas reakcji na pojawiające się luki bezpieczeństwa.
Ignorancja jest największym Cyber Zagrożeniem