Rapora göre, DDoS (Dağıtılmış Hizmet Engelleme) saldırıları, tüm uygulama trafiğinin %37’sini oluşturarak sayı ve hacim olarak artmaya devam ediyor. DDoS saldırılarının en çok hedef aldığı sektörler arasında oyun ve bahis, bilişim teknolojileri ve internet, kripto para, bilgisayar yazılımları ile pazarlama ve reklamcılık sektörleri yer alıyor.
Bot trafiği ise, tüm trafiğin %31’ini oluşturarak ikinci en yaygın tehdit türü olarak belirlenmiş. Botların %93’ünün potansiyel olarak zararlı olduğu ifade ediliyor. Bot saldırıları en çok üretim ve tüketici malları, kripto para, bilgisayar ve ağ güvenliği sektörlerini ve ABD federal hükümeti‘ni hedef alıyor.
Sıfırıncı gün zafiyetlerinin hızla arttığı belirtilen raporda, geliştiriciler bir yama yayımlayana kadar saldırganlar tarafından aktif olarak istismar edilen 2023 yılında 97 sıfırıncı gün zafiyetinin söz konusu olduğu aktarılıyor. Bu zafiyetlerden bazıları, bir kanıt konsepti yayımlanmasının ardından dakikalar içinde istismar edilmiş. Raporda ayrıca, geçen yıl 5,000’den fazla kritik güvenlik açığının bildirildiği ve kritik bir web uygulama zafiyeti için ortalama yama yayımlama süresinin 35 gün olduğu vurgulanıyor.
Uygulama programlama arayüzlerini (API) güvenli hale getirmek için kullanılan geleneksel yöntemlerin yetersiz kaldığına dikkat çekilen raporda, birçok kuruluşun hala çoğunlukla web trafiğinin zararsız olduğunu varsayan negatif güvenlik modelini kullandığı belirtiliyor. Bunun aksine, izin verilen trafiği sıkı tanımlarla belirleyip geri kalanı reddeden pozitif güvenlik modelini kullanan kuruluş sayısının daha az olduğu ifade ediliyor.
Üçüncü taraf yazılım bağımlılıklarının da giderek artan bir risk oluşturduğu vurgulanan raporda, ortalama bir kuruluşun web sitesi işlevlerini artırmak için 47 üçüncü taraf script’i, 50 JavaScript bağlantısı ve 12 cookie kullandığı belirtiliyor. Rapor, web geliştirmenin büyük oranda kullanıcıların tarayıcılarında bu tür üçüncü taraf kodlarının ve aktivitelerin yüklenmesine izin verilmesine kaymasıyla kuruluşların tedarik zinciri riski ile uyum ve sorumluluk konularında daha fazla maruz kaldığını savunuyor.
Raporun sonuç kısmında, kuruluşların uygulamalarını ve API’lerini yeni risklere karşı korumanın karmaşıklığının arttığına dikkat çekiliyor. Cloudflare tarafından yapılan değerlendirmede, “Kuruluşlar, SaaS uygulamalarını, web uygulamalarını ve diğer BT altyapılarını korumak ve bağlamak için genellikle birbiriyle uyumsuz yama işleri ve ürün noktalarından oluşan bir yapıya sahip. BT dağınıklığı, saldırganların zafiyetleri bulup istismar etmesini kolaylaştırıyor,” ifadelerine yer veriliyor.