Cloudflare heeft haar State of Application Security 2024 Report uitgebracht. Inzichten uit dit rapport onthullen dat beveiligingsteams moeite hebben om zich te wapenen tegen de risico's die worden veroorzaakt door de mate waarin organisaties afhankelijk zijn van moderne applicaties, oftewel de technologie waar alle meest gebruikte sites van dit moment mee gebouwd zijn.
Het rapport onderstreept dat de teams verantwoordelijk voor applicatiebeveiliging niet opgewassen zijn tegen de hoeveelheid dreigingen als gevolg van problemen in de supply chain van software, het groeiende aantal DDoS-aanvallen en de toename in kwaadaardige bots, omdat ze over onvoldoende middelen beschikken.
Apps en API's
De digitale wereld van nu draait op webapplicaties en API's. Apps en API's maken het mogelijk dat e-commercewebsites betalingen aannemen, zorgsystemen patiëntengegevens veilig delen en wij onze telefoons kunnen gebruiken voor allerlei activiteiten. Maar hoe meer we op deze applicaties vertrouwen, hoe meer het aanvalsoppervlak uitbreidt. Dit effect is nog sterker door de vraag aan ontwikkelaars om snel nieuwe functies te leveren, bijvoorbeeld functies op basis van generatieve AI. Maar als ze niet beveiligd zijn, kan uitbuiting van applicaties leiden tot verstoringen in de bedrijfscommunicatie, financiële verliezen en het instorten van essentiële infrastructuur.
Enkele van de belangrijkste conclusies uit het State of Application Security 2024 Report van Cloudflare:
• DDoS-aanvallen blijven in aantal en volume toenemen: DDoS blijft de meest ingezette methode waarmee webapplicaties en API's worden aangevallen. DDoS-aanvallen vormen 37,1% van al het applicatieverkeer dat Cloudflare tegenhoudt. Branches als gaming en gokken, IT en internet, cryptocurrency, computersoftware en marketing en reclame zijn het vaakst doelwitten.
• De eerste die patcht versus de eerste die uitbuit – de race tussen verdedigers en aanvallers versnelt: Cloudflare observeert dat nieuwe zero-day-kwetsbaarheden sneller dan ooit uitgebuit worden. Slechts 22 minuten na publicatie van de proof-of-concept (PoC) vond er alweer een geval van uitbuiting plaats.
• Slechte bots kunnen voor enorme verstoringen zorgen als ze niet in de hand worden gehouden: een derde (31,2%) van al het verkeer komt van bots. De meerderheid (93%) daarvan is ongeverifieerd en mogelijk kwaadaardig. De branches die het vaakst worden aangevallen, zijn productie en consumentengoederen, cryptocurrency, beveiliging en onderzoeken, en de federale overheid van de VS.
• Organisaties gebruiken achterhaalde methodes om API's te beveiligen: traditionele web application firewall (WAF)-regels die een negatief beveiligingsmodel gebruiken (de veronderstelling dat het meeste online verkeer bona fide is), worden het meest ingezet als bescherming tegen API-verkeer. Veel minder organisaties gebruiken de meer gangbare beste API-beveiligingspraktijk in de vorm van een positief beveiligingsmodel. Daarbij wordt een strenge definitie gehanteerd van welk verkeer toegestaan is, en de rest wordt afgewezen.
• Afhankelijkheid van software van derden vormt een groeiend risico: organisaties gebruiken gemiddeld 47,1 stukken code van externe leveranciers en maken gemiddeld 49,6 uitgaande verbindingen met externe bronnen om de efficiëntie en prestaties van websites te verbeteren, bijvoorbeeld door gebruik te maken van Google Analytics of Ads. Maar omdat dit soort externe code en activiteiten tegenwoordig grotendeels in de browser van de gebruiker wordt geladen, staan organisaties steeds meer bloot aan risico's in de supply chain en op het gebied van aansprakelijkheid en naleving.
"Web-apps en API's zijn zelden gebouwd met het oog op veiligheid. Toch gebruiken we ze elke dag voor allerlei kritieke taken. Daardoor zijn ze een uitgelezen doelwit voor hackers", zegt Matthew Prince, medeoprichter en CEO van Cloudflare. "Het netwerk van Cloudflare blokkeert gemiddeld 209 miljard cyberdreigingen per dag voor onze klanten. De beveiligingslaag rondom moderne applicaties is een van de belangrijkste puzzelstukjes geworden om het internet veilig te houden."
8 en 9 januari 2025 Organisaties hebben behoefte aan data science, selfservice BI, embedded BI, edge analytics en klantgedreven BI. Vaak is het dan ook tijd voor een nieuwe, toekomstbestendige data-architectuur. Dit tweedaagse seminar geeft antwoord ...
2 april 2025 Schrijf in voor al weer de twaalfde editie van ons jaarlijkse congres met wederom een ijzersterke sprekers line-up. Op deze editie behandelen wij belangrijke thema’s als Moderne Cloud Data Architecturen, Datawarehouse Design met Ge...
3 april 2025 (halve dag)Praktische workshop met Alec Sharp [Halve dag] Deze workshop door Alec Sharp introduceert conceptmodellering vanuit een non-technisch perspectief. Alec geeft tips en richtlijnen voor de analist, en verkent datamodellering op c...
3 april 2025 Deze workshop met Winfried Etzel behandelt de centrale pijler van Data Mesh: Federated Data Governance. Hoe zorg je voor een goede balans tussen autonomie en centrale regie? Praktische workshop van een halve dag op 3 april in Utre...
3 april 2025 In de snel veranderende wereld van vandaag is het effectief benutten en beheren van gegevens een kritieke succesfactor voor organisaties. Deze cursus biedt een fundamenteel begrip van Master Data Management (MDM) en de centrale ro...
7 t/m 9 april 2025Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare richt...
10, 11 en 14 april 2025Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikba...
15 april 2025 Praktische workshop Datavisualisatie - Dashboards en Data Storytelling. Hoe gaat u van data naar inzicht? En hoe gaat u om met grote hoeveelheden data, de noodzaak van storytelling en data science? Lex Pierik behandelt de stromingen in ...
Deel dit bericht