Raport Barracuda State of Application Security w 2021 przebadał 750 decydentów zajmujących się bezpieczeństwem aplikacji, reprezentujących organizacje zatrudniające co najmniej 500 pracowników z USA, Europy i regionu Azji i Pacyfiku. Wskazuje on jednoznacznie na rolę braków w zabezpieczeniach aplikacji internetowych w naruszeniach, z którymi przedsiębiorstwa mają do czynienia za ich pośrednictwem .
Nie jest to zaskakujący wynik, biorąc pod uwagę dominację aplikacji internetowych i globalne przejście do pracy zdalnej . Jednak aplikacje były stałym źródłem braków w zabezpieczeniach od pierwszych dni Internetu. Pojawienie się programów internetowych torujących drogę do intuicyjnych interakcji w dowolnym czasie i miejscu na dowolnym urządzeniu, pogorszyło sytuację.
Rzeczywistość jest taka, że aplikacje internetowe stanowią zbyt łatwy punkt podatności ze względu na to, co robią zespoły programistyczne — a czego nie robią. W organizacjach istnieje zbyt wiele podstawowych błędów, ponieważ zespoły programistyczne i ich audytorzy bezpieczeństwa pozostają szeroko otwarci. Nie zamykając ścieżek do popularnych lokalizacji folderów, w których można na przykład uzyskać poufne informacje, umożliwiają przedsiębiorczemu hakerowi uzyskanie łatwego dostępu.
Wiemy, że krajobraz ataków nieustannie się zmienia. Ankieta Barracudy zwróciła uwagę na ataki botów, a także na bezpieczeństwo API i łańcuch dostaw oprogramowania. Istnieje jednak lista starszych metod, które nadal są uparcie rozpowszechnione: cross-site scripting, zatruwanie plików cookie, przejmowanie sesji, upychanie poświadczeń i wstrzykiwanie SQL, to tylko kilka przykładów.
Trudno nie być krytycznym wobec twórców aplikacji internetowych. Istnieje przecież wiele badań wskazujących na ich winę w tworzeniu lub pozostawianiu luk w zabezpieczeniach.
Dla tych, którym zależy na spełnieniu oczekiwań klientów, niezależnie od tego, czy są w organizacji, czy poza nią, jednym z głównych priorytetów powinno być zmniejszenie ryzyka związanego z korzystaniem z dostarczanych cyberaplikacji.
Istnieje wielu dostawców, którzy mogą zapewnić narzędzia i usługi audytowe, mogące przenieść bezpieczeństwo i prywatność aplikacji internetowych na wyższy poziom działania i niezawodności. Liczne produkty oparte na obsłudze oprogramowania typu open source mogą również oferować opłacalny dostęp. Niezbędny jest silny reżim testowy, oparty na automatycznym wsparciu, aby umożliwić skuteczniejsze i szybsze pokrycie testów.
