Veel bedrijven hebben geen grip op groeiende applicatie-omgeving

Veel bedrijven hebben nog steeds moeite grip te krijgen op hun groeiende applicatie-omgevingen en deze te optimaliseren en te beveiligen. 38 procent van de bedrijven wereldwijd heeft geen vertrouwen in hun eigen zicht op de gebruikte applicaties.

Dit blijkt uit het 2018 Application Protect Report van F5 Labs, het meest uitgebreide onderzoek ooit op dit gebied. Aanvullend onderzoek uitgevoerd door het Ponemon Institute laat regionale verschillen zien. Zo hebben bedrijven uit het Verenigd Koninkrijk het minste zicht op hun applicaties; slechts 32 procent geeft aan vol vertrouwen te zijn. De Duitsers blinken wel uit in vertrouwen: 45 procent heeft alles onder controle qua applicaties.

Kwetsbaarheden opsporen blijft een uitdaging

De onderzoekers analyseerden ook de beveiliging van web-applicaties. Hieruit bleek dat 60 procent geen testen uitvoert om kwetsbaarheden te ontdekken, heeft geen vaste routine hierin of doet het slechts jaarlijks. Verder gaf 46 procent van de respondenten aan dat hun organisatie niet eens in staat zou zijn om kwetsbaarheden te ontdekken en bijna de helft (49 procent) stelde geen tegenmaatregelen te kunnen treffen.

“De meeste bedrijven proberen bij te blijven met de technologische ontwikkelingen, maar ze slagen daar slechts ten dele in, met allerlei security-issues tot gevolg. De druk wordt verder opgevoerd om snelle, flexibele en veilige apps te maken. Hierbij worden compromissen gesloten die dus altijd ten koste gaan van één van de eisen, en vaak is dat beveiliging”, aldus David Warburton, Senior EMEA Threat Research Evangelist, F5 Networks.

Cruciale apps

Het onderzoek wijst uit dat bedrijven een derde van hun apps als cruciaal beschouwen. De belangrijkste hierbij zijn document management en samenwerking, communicatie-apps (email en messaging) en Microsoft Office-toepassingen.

De top drie belangrijkste risico’s is in alle landen gelijk: diefstal van inloggegevens, DDoS-aanvallen en (web)fraude. Canada heeft hierbij met 81 procent de grootste angst voor diefstal van accountgegevens. In Europa is dat Duitsland met 76 procent. Het Verenigd Koninkrijk noemde van alle landen het vaakst webfraude als risico (57 procent).

Er is ook een inschatting gemaakt van de kosten als een applicatie uitvalt ten gevolge van een aanval. Gemiddeld is dat 6,86 miljoen dollar. De VS spannen de kroon met een kostenpost van 10,64 miljoen dollar, gevolgd door Duitsland met 9,17 miljoen dollar. De kosten voor gegevensverlies lopen hoger op. Voor de VS worden die geschat op 16,91 miljoen dollar en Duitsland als tweede met 11,30 miljoen dollar.

Tegenmaatregelen

De drie belangrijkste tegenmaatregelen om apps veilig te houden zijn Web Applicatie Firewalls (WAF), applicatiescanning en penetratietesten, maar er zijn enkele regionale verschillen. De belangrijkste WAF-gebruikers zijn de VS, Brazilië, Duitsland, Canada en India. Penetratietesten zijn populair in India, China, Brazilië, Duitsland, Canada, het Verenigd Koninkrijk en de VS. Applicatiescanning wordt toegepast in India, China, Brazilië, Canada, de VS, Duitsland en het Verenigd Koninkrijk.

Storage encryption wordt ook veel genoemd als verdediging. De helft van de Duitse bedrijven zet dit in, gevolgd door Canada (44 procent), de VS (40 procent) en het Verenigd Koninkrijk (39 procent).

'Reputatie staat op het spel'

Warburton: “De reputatie van een bedrijf staat op het spel en men vertrouwt op een goede security-architectuur. Bedrijven kunnen niet langer terugvallen op traditionele IT-infrastructuren. Technologieën als application-layer encryptie, API security en gedragsanalyse zijn cruciaal om aanvallen weerstand te bieden. Automatische tools met gevorderde machine learning helpen hierbij om cybercrime snel te ontdekken en tegen te gaan.”

Het 2018 Application Protection Report bevat resultaten uit onderzoek onder duizenden security-professionals in 14 landen wereldwijd, uitgevoerd door het Ponemon Institute, aangevuld met interne datasets van F5, aanvalsgegevens van duizenden Loryka sensoren, kwetsbaarheiddata van WhiteHat Security en deskresearch van gepubliceerde datalekken door de Cybersecurity-faculteit van WhatCom Community College. De regionale gegevens komen uit onderzoek van Ponemon in opdracht van F5 onder meer dan 3000 IT professionals in verschillende landen.