Mặc dù là công cụ quan trọng đối với nhiều tổ chức giúp xử lý thông tin liên lạc và các giao dịch nhưng các ứng dụng web hiếm khi có thiết kế an toàn. Điều này có nghĩa với các công cụ sẵn có như hiện nay thì việc khai thác ứng dụng web là khá dễ dàng, do đó nó ngày càng trở thành phương thức phổ biến để tội phạm mạng tìm kiếm những dữ liệu có giá trị.
Bà Smeaton nói: "Chẳng hạn, mặc dù các cuộc tấn công lây nhiễm SQL khá nổi và cũng thuyên giảm ít nhiều nhưng vẫn có nhiều người dễ bị tấn công bởi nó, họ có thể bị khai thác dữ liệu chỉ trong vài phút.”
Lây nhiễm SQL được cho là có khả năng tấn công khoảng 80% ứng dụng web và cho phép tin tặc thực hiện một loạt các hành vi nguy hiểm gồm chèn mã độc và đánh cắp dữ liệu.
Các cuộc tấn công kiểu này có tác động đáng kể đối với doanh nghiện, làm tổn hại đến danh tiếng công ty cũng như mất các dữ liệu.
Tất cả việc bảo mật dữ liệu đều vô nghĩa nếu các tổ chức vẫn không bảo mật các ứng dụng web, vô tình mở rộng cánh cửa cho tội phạm mạng bước vào.
Bà Smeaton nhấn mạnh không có cách giải quyết đơn lẻ nào, bảo mật ứng dụng web đòi hỏi một cách tiếp cận đa diện.
Làm thế nào để tăng cường bảo mật ứng dụng web ?
Tuy nhiên, bà Smeaton xác định có ba việc khá đơn giản với chi phí thấp mà các tổ chức có thể làm để nâng cao mức độ bảo mật ứng dụng web.
Đầu tiên, họ cần phải mở rộng khả năng phát hiện mã độc. Hầu hết các tổ chức có xu hướng chỉ quét mình ứng dụng và các lớp máy chủ mà thường bỏ qua lớp ứng dụng.
"Các công ty nên tăng cường quét bảo mật và tìm kiếm các chỉ số xâm nhập tại nhiều địa điểm hơn", bà Smeaton cho biết.
Có thể sử dụng các công cụ tự động để xác định các lỗi mã hóa thông thường, hoặc kiểm tra bằng cách thủ công bởi những chuyên gia biết trang web hoạt động ra sao và hiểu nó có thể bị khai thác như thế nào.
Trend Micro đã chứng minh rằng thêm các quy trình kiểm tra thủ công có thể giúp dò ra lỗ hổng đến 75%.
Bảo vệ theo chiều sâu
Thứ hai, các tổ chức cần tăng cường bảo vệ bằng cách bổ sung tường lửa cho ứng dụng web (WAF) cùng các hệ thống phát hiện và đề phòng tấn công.
Một cách quan trọng khác giúp bảo vệ nữa là sử dụng chứng chỉ số SSL, nhưng những chứng chỉ số SSL truyền thống có thể khá khó khăn và tốn kém để duy trì.
Các công ty nên xem xét sử dụng cách tiếp cận chứng chỉ số SSL không giới hạn “always-on” mới được hỗ trợ bởi Osterman Research.
Bà Smeaton nói thêm: "Trong khi một số công ty có thể tiêu tốn hàng trăm hay hàng ngàn đô la một năm thì cách tiếp cận này thường giúp tiết kiệm khoảng 70% chi phí".
Thứ ba, doanh nghiệp nên tập trung vào khả năng hiển thị để dễ dàng xác định ra các cuộc tấn công hơn cũng như ưu tiên giảm thiểu các lỗ hổng.
"Nếu không có một cái nhìn chú trọng thì doanh nghiệp sẽ khó để khắc phục nhanh chóng và hiệu quả các lỗ hổng có độ rủi ro cao", bà Smeaton nói.