Inteligentna ochrona zaczyna się na brzegu sieci

We współczesnym świecie ustalenie brzegu sieci jest coraz trudniejsze, a często wręcz niemożliwe. Dlatego, inteligentna platforma zabezpieczeń roztacza ochroną całą architekturę sieci – od rdzenia sieci, przez jej brzeg, aż po chmurę. Wszystko po to, aby udaremnić ataki i ograniczyć potencjalne zagrożenia, gdziekolwiek się pojawią.

Pandemia COVID-19 wciąż wpływa na sposób w jaki żyjemy i pracujemy. Choć w ostatnim roku biura często stały puste, cyberprzestępcy nie zrobili sobie przerwy. Świat poszedł do przodu, zmieniły się wektory ataków. Czy wiesz, że architektura aplikacji webowej ma kluczowe znaczenie dla skuteczności rozwiązań ochrony przed atakami? Jak właściwie ocenić i wybrać dobrą zaporę aplikacji webowych? Jaka jest rola dostawców rozwiązań zabezpieczeń w pełnym zastosowaniu zaleceń nakreślonych w OWASP Top 10?

Eksperci Akamai Technologies, globalnej firmy, która obsługuje około 30% światowego ruchu w internecie, przygotowali zestaw artykułów i poradników, które pozwolą zrozumieć obecne zagrożenia oraz sposoby radzenia sobie z nimi z wykorzystaniem najlepszych praktyk oraz dostępnych rozwiązań technologicznych.

Zbudowane na platformie Intelligent Edge Security Platform rozwiązania zabezpieczające Akamai dostarczają kompleksową, całodobową ochronę stron internetowych, aplikacji, API oraz użytkowników. W wybranych materiałach znajdziemy odniesienia do zaawansowanych narzędzi Akamai zapewniających wyrafinowaną ochronę przed botami internetowymi (Bot Manager), ochroną stron i aplikacji webowych przed atakami DDoS (Web Application Protector) czy narzędziami zabezpieczającymi przez atakami typu Magecart (wykradanie danych kart kredytowych) i podobnymi (Page Integrity Manager).

Web Application Protector

Proste, wydajne zabezpieczenie aplikacji internetowych

Poproś o spersonalizowane demo

Inter Cars – ekspansja na nowe rynki dzięki Akamai Ion

Historia Inter Cars to jeden z najbardziej spektakularnych międzynarodowych sukcesów wśród polskich firm. Mała, rodzinna spółka, która powstała w 1990 roku, dzisiaj jest największym importerem i dystrybutorem części zamiennych do samochodów w Europie Środkowej i Wschodniej. W 2017 r. firma odnotowała przychody na poziomie 2 mld USD, obsługując ponad 21 tys. klientów. Niemal połowa sprzedaży odbywa się na rynkach międzynarodowych. Dlatego tak ważna jest sprawnie działająca i nowoczesna platforma e-commerce. Firma poszukiwała platformy, która będzie łatwo skalowalna, będzie odpowiadała na zmieniające się potrzeby związane z ekspansją na nowe rynki oraz nadążała za potrzebami biznesowymi firmy. Wybór padł na rozwiązanie Akamai Ion, które nie tylko spełniało te warunki ale także poprawiło wyniki czasu ładowania stron produktowych. Efekt wprowadzenia Akamai Ion był natychmiastowy i imponujący – połowa użytkowników uzyskała średni czas ładowania strony poniżej 2 sekund. Inter Cars był w stanie ładować strony 9 razy szybciej w Grecji, 10 razy szybciej w Bułgarii. Co czwarty klient w 13 krajach był w stanie przeprowadzić kompletny, 7-stopniowy proces transakcji w czasie krótszym niż 9 sekund. To bardzo pozytywnie wpłynęło na customer experience i w rezultacie - relacje z klientami. Działanie na wielu rynkach wymaga radzenia sobie z różnorodnymi wyzwaniami. Sprawdź, w jaki sposób Akamai pomogło firmie Inter Cars w minimalizowaniu problemów związanych z działaniem strony internetowej – i dzięki temu wsparło rozwój biznesowy firmy.

Pobierz PDF

Credential stuffing, czyli jak atakowany jest sektor mediów

Cyberprzestępcy coraz chętniej wykorzystują ataki credential stuffing. Co piąty z 88 miliardów ataków tego typu zarejestrowanych przez Akamai w 2018 i 2019 r. był skierowany przeciwko platformom wideostreamingowym, sieciom telewizyjnym i kablowym, nadawcom, portalom informacyjnym i reklamodawcom, w skrócie: przeciwko sektorowi mediów. A liczby cały czas rosną. W specjalnym raporcie Credential Stuffing in the Media Industry Akamai podaje, że zaobserwowało w tym okresie 63 procentowy wzrost rok do roku. Credential stuffing to rodzaj ataku słownikowego, który polega na wykorzystaniu przez przestępców do prób logowania w różnych serwisach czy systemach danych uwierzytelniających skradzionych w innych miejscach. Pomimo ostrzeżeń wielu użytkowników nadal korzysta do logowania prawie zawsze z tych samych kombinacji loginów i haseł. Tymczasem skradzione dane uwierzytalniaające są dziś bardzo tanie. Latem 2020 r. 1 milion rekordów można było kupić na czarnym rynku za 5 dolarów. Milion rekordów! Wzrost ataków credential stuffing Akamai obserwowało zwłaszcza na rynkach Unii Europejskiej. Media, w jakim kraju były atakowane w ten sposób najczęściej w pierwszym kwartale 2020 r? We Francji. A jakie było główne źródło ataków tego typu przeciwko mediom? USA, a Polska znalazła się na miejscu czwartym. Jeśli chcielibyście dowiedzieć się, jakie kraje znalazły się na kolejnych miejscach, poznać więcej szczegółów na temat ataków credential stuffing na media i czego według Akamai można spodziewać się w przyszłości, zapraszamy do pobrania raportu Credential Stuffing in the Media Industry.

Pobierz PDF

Gracze stali się ulubionym celem cyberprzestępców. Liczba ataków webowych na branże gamingową wzrosła o 340%

Pandemia wywróciła cały nasz świat do góry nogami. Uwięzieni w domach w 2020 graliśmy znacznie częściej i o wiele więcej. Nie umknęło to oczywiście uwadze cyberprzestępców. Najnowszy raport SOTI Research przygotowany przez Akamai, będący skróconą, bardziej skondensowaną wersją opracowywanych przez firmę publikacji State of the Internet i State of the Security, prezentuje aktualny krajobraz zagrożeń w branży gamingowej, jaki został wykreowany w ubiegłym roku przede wszystkim przez pandemię. I trzeba od razu powiedzieć, że nie jest to optymistyczny obraz. Liczba ataków webowych, których celem była branża gamingowa wzrosła w okresie od 2019 do 2020 o 340%. Żadna inna branża nie odnotowała takiego wzrostu ataków. Najpopularniejszymi wektorami ataków były nadal SQLi (59%) i LFI (23,7%). Decyduje o tym przede wszystkim dostępność narzędzi pozwalających na prowadzenie ataków w sposób zautomatyzowany. Z kolei liczba ataków credential stuffing, polegających na wykorzystaniu do logowania do platform gier online danych uwierzytelniających skradzionych z innych serwisów, skoczyła o 224%. Nie będzie to zaskoczeniem, skoro 1 milion rekordów można było latem 2020 r. kupić za 5 dolarów! Największą zmorą gier mobilnych, które stanowią dziś już prawie połowę wszystkich przychodów branży, jest phishing. Natomiast jednym z niewielu pozytywów był natomiast 20 procentowy spadek ataków DDoS. Jeśli chcielibyście poznać więcej szczegółów na temat ataków wymierzonych przeciwko graczom i branży gamingowej a także dowiedzieć się co jeszcze zaobserwowało Akamai, zapraszamy do pobrania raportu Gaming in a Pandemic.

Pobierz PDF

10 mitów, którymi nie warto sugerować się przy wyborze Web Application Firewall

Zabezpieczanie aplikacji internetowych może być trudnym zadaniem, a pierwszym prawdziwym wyzwaniem okazuje się wybór najlepszego, spośród wielu dostępnych na rynku, rozwiązania. WAF chroni aplikację webową przed wszystkimi atakami typu zero-day. Prawda czy fałsz? Poradnik 10 Myths in Selecting a Web Application Firewall raz na zawsze rozprawia się z obiegowymi mitami, chętnie powtarzanymi przy wyborze zapory aplikacji webowej (Web Application Firewall, WAF). Czy możliwość tworzenia rozbudowanych reguł filtrowania zwiększa bezpieczeństwo stron i aplikacji internetowych? Czy analizy zagrożeń oparte na crowdsourcingu zapewniają wystarczający poziom ochrony? Eksperci Akamai stawiają 10 pozornie błahych tez, na które udaje im się znaleźć wiele nieoczywistych odpowiedzi. Dokument dostarcza solidną garść wiarygodnych informacji jakie cechy powinien mieć dobry system WAF, przed jakimi zagrożeniami chroni i jak można lepiej zabezpieczyć swoje aplikacje, jeśli dokonasz wyboru właściwego narzędzia. W rezultacie, zamiast martwić się kolejnymi atakami, będziesz mógł lepiej zająć się swoim biznesem. Zachęcamy do lektury.

Pobierz PDF

Ochrona przed botami internetowymi. 10 kwestii, które trzeba wziąć pod uwagę

Czy wiesz, że jeśli udostępniasz API dla aplikacji mobilnych albo wystawiasz je firmom trzecim, potrzebujesz rozwiązania, które zabezpieczy je w taki sam sposób, w jaki chronisz swoje aplikacje internetowe? W przeciwnym wypadku boty (i wszystkie problemy związane z zarządzaniem nimi) z łatwością przeniosą się z aplikacji webowych na API. Najnowszy e-book Top 10 Considerations for bot management porusza 10 najważniejszych kwestii, które wymagają rozważenia przy wyborze rozwiązania ochrony przed botami internetowymi. Ochrona API to jeden z poruszanych w dokumencie tematów. Zautomatyzowane roboty internetowe, albo po prostu boty, odpowiadają za 30% do 70% całkowitego ruchu na stronach internetowych – wynika z danych zebranych przez Akamai. Ta prosta statystyka przeczy naszym wyobrażeniom o rzeczywistości. Jednocześnie wiedza i świadomość tego faktu to jedno, ale zrozumienie tego, co można z tym zrobić i jak to zrobić, może być już dużo bardziej skomplikowane. Wybór właściwego rozwiązania do zarządzania i ochrony przed botami internetowymi nie jest prosty. Rynek tego typu narzędzi rozwija się dynamicznie, działa na nim wielu dostawców o różnym doświadczeniu i możliwościach. Wszystkie te firmy łączy sprawny marketing, którego zadaniem jest przekonanie Ciebie, że oferowane rozwiązanie rozwiąże każdy Twój problem. E-book przygotowany przez ekspertów Akamai próbuje przebić się przez te nośne hasła, dostarczając solidną garść wiedzy jak prawidłowo ocenić dostępne na rynku narzędzi do zarządzania botami, jak zrozumieć różnice między nimi i na co zwrócić uwagę przy wyborze rozwiązania do ochrony aplikacji webowych. Zachęcamy do lektury.

Pobierz PDF

Dostosować się do nieprzewidywalnego. Raport o stanie internetu

W kwietniu 2020 roku Martin McKeay (naczelny SOTI: Research) opublikował na blogu twarde dane: Akamai zaobserwowało 30% wzrost ruchu internetowego od początku obowiązywania blokad pandemicznych. Szybko zaczęły mnożyć się pytania. Czy internet wytrzyma wzmożony ruch generowany przez pracujących z domu, uczących się na odległość albo po prostu intensywniej korzystających z sieci będąc w izolacji? Internet okazał się być odporny. Zamiast dywagować o ogólnych trendach i prognozach dla świata, najnowszy raport o stanie internetu przygotowany przez SOTI: RESEARCH wymienia konkretne przykłady zdarzeń, spoglądając wstecz na burzliwy 2020 rok i analizując niektóre zmiany technologiczne, które miały miejsce. Ubiegłe dwanaście miesięcy były bowiem kolejką górską, ze wzlotami i upadkami, podsycanymi stresem, strachem i niepewnością. W 2021 roku COVID-19 wciąż wpływa na to, w jaki sposób żyjemy i pracujemy. • Czego nauczył nas pandemiczny rok 2020? • Czy zastosowane rozwiązania bezpieczeństwa, które działały w centrach danych i biurach, okazały się równie skuteczne, kiedy wszyscy przenieśli się do domów, aby pracować zdalnie? • Jak zmienił się krajobraz zagrożeń i jak cyberprzestępcy zmienili swoje strategie? • W końcu w jaki sposób dostawcy technologii jak Akamai poradzili sobie ze zmianą? O tym wszystkim dowiemy się z raportu Adapting to the Unpredictable. State of the Internet. Choć biura stały puste, cyberprzestępcy nie zrobili sobie przerwy na wirusa. Zachęcamy do lektury.

Pobierz PDF

Akamai pomaga rozszerzyć zestaw najlepszych praktyk ochrony, aby ograniczyć ryzyka opisane w OWASP Top 10

OWASP Top 10 to zestawienie typów podatności najczęściej spotykanych w aplikacjach webowych. Listę zagrożeń otwierają ataki związane ze wstrzykiwaniem kodu (injection), uwierzytelnianiem i zarządzaniem sesją (broken authentication) oraz niewłaściwą ochroną wrażliwych danych przed ujawnieniem lub modyfikacją (sensitive data exposure). Celem zestawienia jest wyartykułowanie podatności w zabezpieczeniach, które twórcy powinni wziąć pod uwagę przy projektowaniu aplikacji. Problem w tym, że pełne odniesienie się do OWASP Top 10 wymaga zrozumienia roli dostawców rozwiązań zabezpieczeń oraz samej organizacji, której zadaniem jest ochrona aplikacji. Tylko niektóre obszary ryzyka mogą adresować sami twórcy aplikacji, zaś pełne ograniczenie zagrożeń będzie możliwe dopiero dzięki połączeniu ludzi, procesów i technologii. Dokument How Akamai augments your security practice to mitigate the owasp top 10 risks pomaga zrozumieć w jaki sposób oraz w jakim stopniu dostawca rozwiązań zabezpieczeń może pomóc w udoskonaleniu praktyk programistycznych. Autorzy po kolei odnoszą się do każdego z dziesięciu typów zagrożeń wymienionych w OWASP Top 10, aby wskazać jaką rolę we wspieraniu tych procesów, w obszarach rozwiązań bezpieczeństwa, usług zarządzanych oraz inteligentnej platformy brzegowej, odgrywają rozwiązania dostarczane przez Akamai? Zachęcamy do lektury.

Pobierz PDF

Zapychanie poświadczeniami: architektura aplikacji webowej ma kluczowe znaczenie dla skuteczności rozwiązań ochrony

Dla każdej organizacji narażonej na ataki polegające na zapychaniu poświadczeń, zdolność do ich łagodzenia będzie zależeć od czego więcej, niż tylko narzędzia do ochrony przed botami. Architektura aplikacji webowej ma kluczowe znaczenie dla skuteczności wdrożonego rozwiązania zabezpieczającego. Zapychanie poświadczeniami (ang. credential stuffing) to typ ataku sieciowego polegający na zautomatyzowanym wykorzystaniu ujawnionych poświadczeń logowania do uzyskania dostępu do innych systemów. Ludzie używają tych samych haseł w wielu miejscach, a stąd już krok do przejęcia kontroli nad ich kontami w innych, nawet zupełnie niepowiązanych aplikacjach. Ze względu na coraz bardziej wyrafinowane narzędzia używane przez cyberprzestępców (boty) oraz złożoność architektury współczesnych aplikacji webowych zapychanie poświadczeniami to mocno złożony problem. Wdrożenie 100% skutecznego rozwiązania ochrony, choć teoretycznie możliwe, może być trudno zjadliwe dla organizacji. W rezultacie, wdrożenie wymaganego poziomu zabezpieczeń będzie wymagało zbilansowania akceptowalnego poziomu ryzyka do wpływu zastosowanych rozwiązań na koszty i funkcjonalność aplikacji webowych. Przygotowany przez ekspertów Akamai dokument Understanding Your Credential Stuffing Attack Surface wyjaśnia na czym polegają zagrożenia związane z zapychaniem poświadczeniami, jaki wpływ na powodzenie tych technik ma architektura aplikacji webowej oraz jak dostępne narzędzia pozwalają ograniczyć zasięg tych ataków. Zachęcamy do lektury.

Pobierz PDF

Page Integrity Manager

Wzmacnianie integralności stron internetowych poprzez wykrywanie
i niwelowanie luk w zabezpieczeniach skryptów

Zamów indywidualny raport na temat skryptów