Совместное исследование компаний K2 Cloud и Positive Technologies показало , что 28% российских организаций не защищают свои веб-приложения, несмотря на то, что именно они являются одними из основных целей для кибератак. Опрос был проведен среди профессионалов российского рынка информационной безопасности (ИБ) и был нацелен на выявление наиболее эффективных подходов к защите веб-приложений, а также на прогнозирование будущих тенденций в сегменте корпоративной ИБ.
В исследовании участвовали более 100 ИТ-директоров крупных компаний из различных отраслей, включая телекоммуникации, промышленность, розничную торговлю, банковский и финансовый сектор, ИТ-индустрию и образовательные учреждения. Результаты исследования подтверждают выводы Positive Technologies о том, что эксплуатация уязвимостей в веб-приложениях остаётся одним из трёх наиболее распространённых методов атак на организации уже на протяжении пяти лет.
Согласно данным K2 Cloud и Positive Technologies, компании, которые уделяют внимание защите своих веб-приложений, выбирают либо классические подходы с использованием одного инструмента, либо комбинированные решения. Например, 20% респондентов ограничиваются применением лишь одного WAF (Web Application Firewall), 12% используют решения Anti-Bot, а 52% – сочетание Anti-DDoS и WAF. В то же время наблюдается переход к использованию облачных технологий: 10% компаний уже полностью перешли на облачные решения для защиты, 15% используют гибридные модели, а ещё 30% планируют отказаться от on-premise систем в пользу облачных решений в ближайший год.
В компании K2 Cloud подчеркнули, что, учитывая рост количества и сложности атак, компаниям стоит серьёзно задуматься о комплексной защите веб-приложений. Он отметил, что до 40% атак в настоящее время осуществляются через API, что обостряет потребность в высокоуровневой защите. Однако многие компании пока не готовы к подобным угрозам, и отложенный спрос на комплексные решения для ИБ может негативно сказаться на безопасности бизнеса. Облачная защита, по словам Фикса, предлагает более оперативное развёртывание и гибкость благодаря возможностям масштабирования.
Данные опроса указывают на то, что развитие защиты веб-приложений движется в сторону комплексных решений. Такие узконаправленные инструменты, как WAF и Anti-Bot, используемые третью компаний, уже не могут закрыть все потенциальные риски. Поэтому в ближайшие годы лидирующие позиции, вероятно, займут комплексные платформы класса Application Security Platform.
В Positive Technologies отметили, что WAF, вопреки ожиданиям, не даёт 100% защиты от всех хакерских атак, но позволяет сделать веб-приложение менее привлекательным для злоумышленников уже на стадии разведки. Если хакер обнаруживает защиту на веб-ресурсе, он, скорее всего, переключится на менее защищённые цели. В случаях, когда атака всё же направлена на защищённое веб-приложение, WAF значительно усложняет процесс взлома, делая его менее вероятным и затратным для атакующего.