Cloudflare – 2024 Application Security Status

Baza wiedzy

Cloudflare – 2024 Application Security Status

Cloudflare to globalna platforma bezpieczeństwa aplikacji internetowych i API, która obsługuje ponad 57 milionów żądań HTTP na sekundę i codziennie blokuje ponad 209 miliardów zagrożeń. Dzięki usługom takim jak WAF, zarządzanie botami, ochrona DDoS i API Gateway, oferuje warstwową ochronę aplikacji i infrastruktury.

Raport „State of Application Security 2024” prezentuje dane z okresu kwiecień 2023 – marzec 2024: 6,8% ruchu aplikacyjnego zostało zablokowane, 37,1% ataków stanowiły DDoS, 93% botów było potencjalnie złośliwych, a zero-day były wykorzystywane już 22 minuty po ujawnieniu PoC.

Dokument omawia również zagrożenia ze strony shadow API, ryzyka po stronie klienta (skrypty, cookies), skutki rozproszonego środowiska bezpieczeństwa oraz zalecenia dotyczące automatyzacji ochrony i zastosowania pozytywnych modeli bezpieczeństwa dla API.

cloudflare.com

Część 1 – Wprowadzenie i kontekst raportu

Dlaczego powstał ten raport

Aplikacje są dziś fundamentem działalności firm – umożliwiają komunikację z klientami, przetwarzanie transakcji i dostęp do danych. Dlatego też stały się jednym z głównych celów atakujących. Od klasycznych ataków typu DDoS po nadużycia API i zagrożenia na poziomie przeglądarek – punkty ataku stale się poszerzają, a organizacje muszą dostosowywać strategie obrony.

Celem tego raportu jest:

  • zaprezentowanie danych o stanie zagrożeń i sposobach ich blokowania,
  • analiza trendów z ostatnich 12 miesięcy (kwiecień 2023 – marzec 2024),
  • przedstawienie rekomendacji, jak zbudować skuteczną, warstwową ochronę aplikacji i API.

Zakres raportu

Cloudflare analizuje dane z:

  • ochrony ponad 67 milionów żądań HTTP/s na sekundę,
  • 209 miliardów zagrożeń blokowanych dziennie,
  • 7,6 biliona reguł WAF (w ciągu roku),
  • 1,4 biliona zapytań API.

Dane obejmują wszystkie sektory – od e-commerce po sektor publiczny – i dotyczą globalnego ruchu aplikacyjnego.

Największe trendy zagrożeń 2023–2024

1. Zautomatyzowane ataki są wszędzie – i są coraz bardziej wyrafinowane

W minionym roku:

  • 93% ruchu botów miało potencjał bycia złośliwym,
  • ponad 20% ruchu HTTP stanowiły boty (z czego 8,6% to boty uznane za złośliwe),
  • atakujący wykorzystywali boty do:
    • enumeracji danych (np. loginów),
    • kradzieży danych (credential stuffing),
    • testowania podatności (np. open redirect, file inclusion).

Wniosek: Zautomatyzowane boty to już nie tylko proste skrypty – są inteligentne, rozproszone i trudne do odróżnienia od ruchu użytkownika.

2. Ataki DDoS nadal dominują i ewoluują

  • 37,1% wszystkich zablokowanych zagrożeń to ataki DDoS aplikacyjnego poziomu (warstwa 7).
  • Ataki są coraz bardziej ukierunkowane i krótkotrwałe – trudne do wykrycia bez aktywnej ochrony.
  • Najczęściej atakowane branże to:
    • Technologia,
    • Finanse,
    • Administracja publiczna.

Nowy trend: ataki DDoS w połączeniu z próbami exploitów – tzw. „DDoS maskujący exploit”.

3. Nadużycia i zagrożenia w API rosną w tempie wykładniczym

  • Cloudflare zablokowało ponad 1,4 biliona zapytań API.
  • Ataki celowały w:
    • shadow API (niezarejestrowane/niezarządzane interfejsy),
    • niezabezpieczone punkty końcowe,
    • błędne logiki autoryzacyjne.

Typowe skutki:

  • eksfiltracja danych,
  • przejęcie konta,
  • zmiana konfiguracji.

4. Zagrożenia po stronie klienta (przeglądarki)

  • Rośnie liczba zagrożeń z poziomu skryptów wykonywanych w przeglądarce (np. skimming, keylogging, manipulacje cookies).
  • Przykład: kampanie wykorzystujące skrypty analityczne do kradzieży danych kart płatniczych.

Rekomendacja:

Monitorować i ograniczać działania skryptów zewnętrznych w przeglądarce – np. za pomocą CSP (Content Security Policy) i narzędzi analizy runtime.

Jak organizacje mogą bronić się skuteczniej

1. Zastosuj pozytywny model bezpieczeństwa dla API

Tradycyjna ochrona aplikacji koncentruje się na blokowaniu znanych zagrożeń – tzw. model negatywny (blacklisty, reguły WAF).

Nowoczesne podejście: model pozytywny – zezwalanie tylko na znane, zdefiniowane, bezpieczne żądania.

Co to oznacza?

  • definiowanie i egzekwowanie schematów API (np. JSON Schema, OpenAPI),
  • identyfikowanie i blokowanie nieudokumentowanych endpointów (shadow API),
  • ograniczanie dostępów zgodnie z zasadą najmniejszych uprawnień (least privilege).

2. Ogranicz powierzchnię ataku po stronie klienta

Zalecane działania:

  • stosuj Content Security Policy (CSP) – ogranicza złośliwe skrypty,
  • blokuj lub monitoruj zewnętrzne skrypty w runtime (np. tagi reklamowe, narzędzia marketingowe),
  • używaj narzędzi typu Remote Browser Isolation (RBI),
  • szyfruj dane na poziomie przeglądarki.

3. Stosuj automatyzację i analitykę opartą na danych

Zagrożenia pojawiają się i zmieniają szybciej, niż zespoły bezpieczeństwa są w stanie reagować ręcznie. Dlatego:

  • kluczowa jest automatyczna analiza żądań (np. behawioralna detekcja botów),
  • warto łączyć dane z różnych warstw (WAF, API Gateway, SIEM),
  • priorytetyzuj zagrożenia z pomocą systemów klasy ML/AI.

4. Wzmacniaj architekturę bezpieczeństwa warstwowo

Cloudflare rekomenduje ochronę „end-to-end”:

  • WAF z aktualizowaną bazą reguł,
  • dedykowana ochrona API,
  • zarządzanie botami,
  • ochrona DDoS (warstwa 3, 4 i 7),
  • widoczność i audyt zdarzeń aplikacyjnych.

5. Wdrażaj zasady „zero trust” także dla aplikacji i API

Tradycyjne „zaufanie do wnętrza sieci” nie działa – API są dostępne z zewnątrz, a zagrożenia mogą pochodzić z wnętrza.

Zasady:

  • uwierzytelniaj każde żądanie,
  • weryfikuj kontekst i tożsamość (user, urządzenie, lokalizacja),
  • weryfikuj żądania API pod kątem zgodności ze specyfikacją,
  • nie zakładaj, że „wewnętrzne” API są bezpieczne.

Podsumowanie i rekomendacje na 2024–2025

Sytuacja w skrócie

  • 6,8% całego ruchu aplikacyjnego zostało zablokowane jako złośliwe.
  • 37,1% wykrytych zagrożeń stanowiły ataki DDoS.
  • Ponad 93% botów uznano za potencjalnie złośliwe.
  • Shadow API i ataki logiczne pozostają poważnym zagrożeniem.
  • Czas od opublikowania PoC do pierwszego ataku zero-day: średnio 22 minuty.

Rekomendacje Cloudflare

  1. Ochrona aplikacji wymaga zintegrowanej, warstwowej strategii
    1. WAF, API Gateway, ochrona przed botami i DDoS muszą współpracować.
  2. Automatyzacja to klucz
    1. Współczesne ataki są zbyt szybkie i zbyt liczne, by reagować ręcznie.
  3. Zadbaj o widoczność i monitoring w czasie rzeczywistym
    1. Analityka behawioralna i korelacja danych pozwala szybko wykrywać anomalie.
  4. Traktuj wszystkie API jako zewnętrzne
    1. Niezależnie od tego, czy są publiczne czy wewnętrzne – zabezpieczaj je jednakowo.
  5. Minimalizuj zaufanie
    1. Stosuj zasadę „zero trust” zarówno dla ludzi, jak i maszyn oraz oprogramowania.

Wniosek końcowy:

Aplikacje i API to dziś kręgosłup cyfrowych usług. Ich ochrona musi być dynamiczna, skalowalna i zintegrowana – oparta na danych, automatyzacji i podejściu zero trust.

Gotowi na odznakę?

Analizujemy wszystkie warstwy ochrony WordPressa, łącząc rzetelne dane z przejrzystymi wynikami.

Uruchom test