Le aziende di tutto il mondo faticano ad affrontare, ottimizzare e proteggere gli ambienti applicativi in una fase di rapida espansione: questo quanto rivela lo studio promosso da F5 Networks in collaborazione con il Ponemon Institute.
La ricerca, parte del 2018 Application Protection Report rilasciato dagli F5 Lab[1], condotta su un campione di 3.135 professionisti IT e della sicurezza di aziende in UK, Germania, Stati Uniti, Canada, Brasile, Cina e India, ha mostrato come il 38% degli intervistati non nutra “fiducia” nella supervisione di tutte le applicazioni in uso. Le aziende intervistate nel Regno Unito sono quelle che si dichiarano maggiormente scettiche sul controllo della propria situazione applicativa (32%), mentre i tedeschi si sentono più preparati (45%).
“Molte aziende non riescono a tenere il passo con gli sviluppi tecnologici e tendono ad adottare involontariamente dei compromessi sulla sicurezza dovuti a una preoccupante mancanza di conoscenza delle proprie applicazioni”, spiega David Warburton, Senior Threat Research Evangelist EMEA di F5 Networks, “Si tratta di un problema significativo, dovuto al fatto che le pressioni dal punto di vista della capacità di offrire applicazioni rapide, con funzionalità adattative e dotate di una sicurezza consistente – anche a fronte delle crescenti richieste della legislazione europea in termini di sicurezza delle informazioni – non sono mai state così elevate”.
I costi della mancata protezione
Secondo il Ponemon Institute, la media globale di framework e ambienti Web app in uso è 9,77; con valori oltre la media negli Stati Uniti (12,09), Regno Unito (9,72) e la Germania (10,37).
In media, le aziende considerano come “mission critical” il 33,85% di tutte le proprie app. In EMEA, UK identifica come critiche il 35% delle applicazioni e la Germania il 33%. Comune a tutti i Paesi considerati è l’identificazione di tre ambiti dove le app possono risultare maggiormente critiche: l’area della gestione documentale e della collaborazione; la comunicazione (con applicazioni come la-mail e i messaggi di testo); e le suite di Microsoft Office.
Gli intervistati concordano anche nell’identificazione delle tre principali minacce per le aziende di oggi: il furto delle credenziali, gli attacchi DDoS e le frodi sul web.
In EMEA, il 76% degli intervistati tedeschi è più preoccupato per il furto di credenziali, secondo solo al Canada (81%). È interessante notare che il Regno Unito è indicato come il più soggetto alle frodi Web (57% degli intervistati). Tuttavia, le sue maggiori preoccupazioni sono il furto di credenziali (69%) e gli attacchi DDoS (59%).
Non sorprende che gli attacchi delle app Web rappresentino una piaga dal punto di vista operativo per tutti i Paesi. Il 90% degli intervistati negli Stati Uniti e in Germania ha affermato che sarebbe” molto doloroso” se un attacco portasse all’interruzione dell’accesso a dati o app. Il costo medio globale indicato dagli intervistati per un incidente di questo tipo è di 6,86 milioni di dollari. Gli Stati Uniti subiscono gli attacchi più costosi con perdite stimate in una media di 10,64 milioni di dollari, seguiti a breve distanza dai 9,17 milioni di dollari indicati dalla Germania.
Le differenze tra i Paesi sono evidenti anche quando si stima il costo in caso di incidente che porti alla perdita di informazioni riservate o sensibili, come proprietà intellettuale o segreti di business. Globalmente, il costo medio indicato è 8,63 milioni di dollari. Quasi il doppio le stime relative alle perdite potenziali negli Stati Uniti (16,91 milioni di $) e più elevate della media anche in Germania (11,30 milioni di $).
Infine, il costo medio stimato per un incidente che comporti la perdita di informazioni personali (clienti, consumatori o dipendenti) è pari a 6,29 milioni di dollari. Con una stima sopra la media (9,37 milioni di dollari) negli Stati Uniti, 8,48 milioni in Germania e 6,63 in India.
Come mantengono sicure le proprie app le aziende?
I tre strumenti principali per mantenere le app sicure indicati dagli intervistati sono i firewall per applicazioni Web (WAF), la scansione delle applicazioni e i test di penetrazione.
Il WAF occupa il primo posto negli Stati Uniti (30%), Brasile (30%), Regno Unito (29%), Germania (29%), Canada (26%) e India (26%). I test di penetrazione sono più importanti in India (24%), Cina (20%) e Brasile (19%). L’India è al primo posto anche per l’analisi delle app (24%), seguita da Cina (22%) e Brasile (21%).
Il crescente interesse delle aziende per i WAF era apparso in modo evidente già a inizio anno nel report 2018 State of Application Delivery di F5 Networks, che aveva rivelato come il 61% delle aziende globali intervistate utilizzasse i WAF per proteggere le proprie applicazioni, un trend in crescita guidato in buona parte dall’adozione sempre maggiore del multi-cloud.
“I dati mostrano chiaramente come l’adozione di soluzioni WAF aumenti nel momento in cui le organizzazioni si rendono conto che non è più sufficiente affidarsi ad un concetto di sviluppo sicuro”, continua David Warburton. “Anche l’adozione della tecnologia Advanced WAF (AWAF) cresce, in particolare oggi che le aziende guardano al potenziale del multi-cloud. A differenza dei WAF tradizionali, una soluzione AWAF è proattiva nelle sue difese ed è in grado di gestire il traffico differenziando in modo intelligente robot automatizzati da visitatori umani reali. È un aspetto estremamente utile che consente di ridurre i carichi di lavoro e, di conseguenza, i costi nel cloud, generando anche dati significativi e utilizzabili per condurre operazioni più intelligenti, veloci e sicure”.
La ricerca ha mostrato anche come le tecnologie di mitigazione dei DDoS e di backup DDoS siano le più utilizzate per ottenere una disponibilità elevata delle applicazioni web. Germania e Brasile sono i maggiori sostenitori della mitigazione DDoS (indicata nel 64% dei casi). Le tecnologie di backup, invece, sono più popolari in Canada (76%), nel Regno Unito (74%) e in Germania (73%).
Un altro aspetto interessante che emerge dal report è la crescente importanza della crittografia del transport layer, che vede una percentuale di applicazioni Web che utilizzano la tecnologia SSL (Secure Sockets Layer) e TLS (Transport Layer Security) più elevata nel Regno Unito, in India e in Canada (66% in tutti e tre i Paesi).
Anche la crittografia dello storage è considerata uno strumento difensivo critico e la Germania è all’avanguardia in questo ambito, con il 50% delle aziende che afferma di utilizzare la tecnologia “il più delle volte” rispetto a percentuali più basse in Canada (44%), Stati Uniti (40%) e Regno Unito (39%).
“La reputazione di un’azienda dipende da un’architettura di sicurezza completa. Le aziende di tutto il mondo non possono più fare affidamento sulle infrastrutture IT tradizionali perché l’innovazione tecnologica e le strategie degli hacker si evolvono a una velocità senza precedenti. I WAF tradizionali basati sulle firme non sono in grado di far fronte alle minacce avanzate. Tecnologie di bot protection, crittografia a livello dell’applicazione, sicurezza delle API e analisi comportamentale, che si integrano negli Advanced WAF, oggi sono essenziali per difendersi dagli attacchi. Grazie a strumenti automatizzati dotati di un machine learning ottimizzato, le aziende possono iniziare a rilevare e mitigare il crimine informatico con il massimo livello di precisione”, conclude Warburton.
[1] Il 2018 Application Protection Report è stato condotto dagli F5 Lab raccogliendo e analizzando un’ampia base di dati tra i quali la ricerca condotta insieme a Ponemon Institute su migliaia di professionisti della sicurezza in 14 paesi del mondo, i dati sugli attacchi Web globali raccolti da decine di migliaia di sensori Loryka, i dati sulle vulnerabilità di sicurezza di WhiteHat Security e l’analisi di migliaia di exploit e centinaia di casi di violazione documentati negli Stati Uniti in collaborazione con la facoltà di Cybersecurity Center del WhatCom Community College. La ricerca esterna è stata poi combinata con i dati interni di F5 sugli attacchi DDoS e gli incidenti più importanti analizzati da decine di esperti di sicurezza di F5.
