信息來源:安全內(nèi)參
當(dāng)今世界�����,網(wǎng)絡(luò)安全狀況不斷變化,新型威脅層出不窮�����,所有企業(yè)都應(yīng)將安全視為頭等大事�����。業(yè)務(wù)應(yīng)用越來越為網(wǎng)絡(luò)犯罪分子所垂涎�����,其抵御攻擊的能力成為了運(yùn)營的重要組成部分�����。正如網(wǎng)絡(luò)罪犯類型繁多�����、網(wǎng)絡(luò)攻擊花樣百出,企業(yè)可以選擇的應(yīng)用安全增強(qiáng)方式也多種多樣�����。
為摸清應(yīng)用安全現(xiàn)狀�����,Cybersecurity Insiders與HelpSystems旗下Beyond Security合作�����,深入研究了網(wǎng)絡(luò)安全趨勢�����。研究報(bào)告基于對(duì)網(wǎng)絡(luò)安全專業(yè)人員的全面調(diào)查�����,深入分析了當(dāng)前的趨勢�����、挑戰(zhàn)和應(yīng)用安全解決方案�����。為創(chuàng)建平衡的代表性樣本,所選受訪者的職級(jí)�����、部門�����、所屬公司規(guī)模�����、行業(yè)和資源各不相同�����。
主要關(guān)切和挑戰(zhàn)
44%的受訪者稱�����,企業(yè)最大的應(yīng)用安全顧慮之一�����,是數(shù)據(jù)保護(hù)問題�����。此外�����,42%的受訪者擔(dān)憂難以跟上不斷增加的漏洞�����,38%關(guān)注威脅和數(shù)據(jù)泄露檢測�����,37%憂心云應(yīng)用安全保護(hù)問題�����。網(wǎng)絡(luò)安全專業(yè)人士的其他關(guān)注重點(diǎn)還包括保護(hù)自己開發(fā)的應(yīng)用(37%)�����,以及抵御惡意軟件(29%)�����。
被問及哪些類型的應(yīng)用給企業(yè)帶來的安全風(fēng)險(xiǎn)最高時(shí),42%的受訪者提到了面向客戶的Web應(yīng)用�����,40%則指向了老舊應(yīng)用�����。移動(dòng)應(yīng)用(30%)�����、桌面應(yīng)用(28%)和面向內(nèi)部的Web應(yīng)用(26%)占比稍減�����,但仍構(gòu)成風(fēng)險(xiǎn)�����。
研究也努力調(diào)查了哪些潛在問題可能會(huì)阻礙企業(yè)更好地防御針對(duì)應(yīng)用的攻擊�����。受訪企業(yè)認(rèn)為�����,鞏固防御的主要障礙包括安全熟手短缺(39%)�����、員工安全意識(shí)低下(35%)和預(yù)算不足(35%)�����,其次是部門之間缺乏協(xié)作(29%)�����,管理支持和意識(shí)缺失(26%)�����。
在滲透測試業(yè)務(wù)應(yīng)用方面也表現(xiàn)出了類似的問題�����。被問及滲透測試面臨哪些重大挑戰(zhàn)時(shí)�����,25%的受訪者提到了難以招聘到技能嫻熟的員工,16%的受訪者表示測試盡可能多的應(yīng)用成本太高�����,而13%的受訪者則表示盡可能頻繁地進(jìn)行測試花費(fèi)太多�����。此外�����,45%的受訪者稱�����,快速開發(fā)和發(fā)布新軟件的壓力導(dǎo)致應(yīng)用開發(fā)人員忽視安全編碼實(shí)踐�����。
應(yīng)用攻擊:有多常見�����?都有哪些形式�����?
受訪企業(yè)中�����,44%經(jīng)歷過數(shù)據(jù)泄露�����,其中僅去年一年就有20%經(jīng)歷過數(shù)據(jù)泄露�����。雖然24%的受訪者沒有經(jīng)歷過任何數(shù)據(jù)泄露�����,但大約32%的受訪者不確定自己過去是否經(jīng)歷過應(yīng)用泄露或入侵�����。
至于過去12個(gè)月以來針對(duì)應(yīng)用的安全攻擊,31%的受訪者稱遭遇過惡意軟件攻擊�����,23%經(jīng)歷過分布式拒絕服務(wù)(DDoS)攻擊�����,21%經(jīng)歷了應(yīng)用錯(cuò)誤配置�����,還有20%憑證被盜�����。雖然主要威脅幾乎沒變�����,但應(yīng)用攻擊的數(shù)量和風(fēng)險(xiǎn)都在上升�����。
企業(yè)如何抵御攻擊
絕大部分受訪企業(yè)(91%)都設(shè)置有某種專門的應(yīng)用安全計(jì)劃�����。盡管小部分受訪企業(yè)(9%)完全依賴外包應(yīng)用安全�����,但這些企業(yè)中有39%使用內(nèi)部管理�����,36%采用內(nèi)部和外包應(yīng)用安全相組合的方式�����。這表明�����,在很大程度上�����,企業(yè)至少部分依靠自家網(wǎng)絡(luò)安全人員的技術(shù)和專業(yè)知識(shí)來保護(hù)應(yīng)用安全�����。
想要保護(hù)業(yè)務(wù)應(yīng)用,可以在開發(fā)和發(fā)布期間的某個(gè)時(shí)間點(diǎn)或多個(gè)時(shí)間點(diǎn)執(zhí)行自動(dòng)測試�����。在自動(dòng)安全測試方面�����,54%的受訪企業(yè)在軟件發(fā)布生命周期中進(jìn)行了某種形式的自動(dòng)化測試�����。其中�����,48%在軟件測試期間自動(dòng)化安全測試�����,31%在監(jiān)測期間�����,29%在代碼開發(fā)期間�����,23%在產(chǎn)品發(fā)布期間�����。還有少部分受訪企業(yè)在運(yùn)營審查(16%)和規(guī)劃(15%)期間自動(dòng)化安全測試�����。
總的說來�����,調(diào)研結(jié)果顯示�����,企業(yè)正認(rèn)真對(duì)待應(yīng)用安全問題�����,努力保護(hù)自身應(yīng)用不遭攻擊侵害�����。令人欣喜的是,51%的受訪者預(yù)計(jì)在未來12個(gè)月會(huì)增加應(yīng)用安全預(yù)算�����,34%的受訪者預(yù)計(jì)其預(yù)算將保持不變�����。
結(jié)語
應(yīng)用攻擊威脅日益嚴(yán)重�����,令企業(yè)深陷惡意軟件�����、中斷�����、盜竊和錯(cuò)誤配置利用的風(fēng)險(xiǎn)之中�����。企業(yè)必須投入時(shí)間�����、精力和金錢來確保自身應(yīng)用安全,大多數(shù)受訪企業(yè)都將應(yīng)用安全視為頭等大事�����。
盡管企業(yè)明白應(yīng)用安全的重要性�����,也愿意努力保護(hù)應(yīng)用安全�����,但仍有一些障礙在阻礙企業(yè)實(shí)踐應(yīng)用安全防護(hù)�����。最大的障礙就是人手短缺�����、員工安全意識(shí)匱乏�����,以及沒有合適的預(yù)算來保護(hù)應(yīng)用�����。不過�����,超過一半的受訪者預(yù)計(jì)來年應(yīng)用安全的預(yù)算會(huì)增加�����。完整調(diào)研報(bào)告:https://www.beyondsecurity.com/application-security-survey-results
