Anche se il numero di attacchi informatici continua ad aumentare, le aziende spesso spengono i loro strumenti di sicurezza o li lasciano in funzione in modalità di monitoraggio per paura di falsi allarmi. Questi sono i risultati di un recente studio commissionato dal fornitore di piattaforme Fastly.
Una media di undici strumenti e due milioni di euro sono utilizzati dalle aziende per proteggere le loro applicazioni web e API ogni anno, secondo i risultati dello studio "The tipping point in web applications and API security" di Enterprise Strategy Group (ESG), che è stato commissionato dal fornitore di piattaforme Fastly. Nonostante questi investimenti, questi strumenti spesso causano più problemi di quanti ne risolvano, secondo lo studio. Di conseguenza, i falsi positivi generati dalle soluzioni di sicurezza sono un problema tanto grande quanto gli attacchi di sicurezza riusciti, ha detto. Secondo i risultati dello studio, quasi la metà di tutti gli allarmi di sicurezza sono causati da attività commerciali innocue. Il 75% delle aziende vi dedica almeno tanto tempo quanto gli attacchi veri e propri.
Secondo i ricercatori di mercato di ESG, i risultati dello studio rivelano la necessità urgente di un concetto di sicurezza uniforme e semplificato. Le aziende intervistate sono state esposte a una media di 60 attacchi di successo negli ultimi dodici mesi. Nonostante queste minacce, il 91% di loro ha spento i propri strumenti o li ha lasciati in esecuzione in modalità di registrazione o monitoraggio perché avevano paura dei falsi allarmi. L'82% di coloro che hanno disattivato gli strumenti lo ha fatto meno di un mese dopo l'implementazione. Se i falsi allarmi potessero essere evitati, il 92% degli intervistati preferirebbe eseguire i propri strumenti di sicurezza in modalità di blocco.
La complessità aumenta
La metà delle aziende afferma che la sicurezza delle applicazioni web e delle API è più difficile rispetto a due anni fa. Le ragioni principali di questo sono il passaggio ai servizi di cloud pubblico e alle applicazioni API-centriche. Il 64% delle organizzazioni si aspetta che la maggior parte o tutte le loro applicazioni utilizzino le API nei prossimi due anni e sono preoccupate per le vulnerabilità, il malware e l'esfiltrazione dei dati che prendono di mira questi endpoint. Mentre il 93% degli intervistati prevede di utilizzare una soluzione di sicurezza consolidata da un unico fornitore, solo l'1% lo fa attualmente.
"Una delle più grandi sfide di sicurezza che vediamo oggi è che le tecnologie si stanno evolvendo rapidamente per servire meglio la crescente domanda di offerte digitali. Tuttavia, le soluzioni di sicurezza che proteggono queste tecnologie non stanno vivendo la stessa trasformazione e spesso erodono i vantaggi dei moderni stack tecnologici", ha detto Kelly Shortridge, Senior Principal Technologist di Fastly. "Gli strumenti di sicurezza dovrebbero guidare l'innovazione, fornire un supporto affidabile e aggregare l'intelligence sulle minacce piuttosto che rallentare i cicli di costruzione e produrre dati disgiunti che non possono essere utilizzati."
A proposito dello studio
Per raccogliere i dati di questo rapporto, ESG ha condotto un sondaggio online completo tra i professionisti della sicurezza delle informazioni e dell'IT di 500 aziende in tutto il mondo che conoscono le pratiche di sviluppo delle applicazioni della loro organizzazione e sono coinvolti nell'acquisto di soluzioni di sicurezza (61%). Il sondaggio ha anche incluso sviluppatori, ingegneri e leader DevOps che sviluppano e distribuiscono applicazioni per le loro organizzazioni (39%). Gli intervistati erano distribuiti in Nord America (41%), Europa (30%) e Asia Pacifico e Giappone (29%). Gli intervistati lavorano in aziende con 10 o più dipendenti. In particolare, il 10 per cento degli intervistati è impiegato in piccole organizzazioni (organizzazioni con 10-499 dipendenti), il 15 per cento in organizzazioni medie (organizzazioni con 500-999 dipendenti) e il 75 per cento in organizzazioni aziendali (organizzazioni con 1.000 o più dipendenti). Gli intervistati provengono da una vasta gamma di settori industriali e governativi, con la maggiore partecipazione proveniente dal settore manifatturiero (23%), servizi finanziari (14%), vendita al dettaglio/all'ingrosso (14%), tecnologia (11%), sanità (8%) e comunicazioni (8%). Il sondaggio è stato condotto tra il 17 e il 31 marzo 2021.