信息來源:安全內(nèi)參
當(dāng)今世界,網(wǎng)絡(luò)安全狀況不斷變化,新型威脅層出不窮,所有企業(yè)都應(yīng)將安全視為頭等大事。業(yè)務(wù)應(yīng)用越來越為網(wǎng)絡(luò)犯罪分子所垂涎,其抵御攻擊的能力成為了運(yùn)營的重要組成部分。正如網(wǎng)絡(luò)罪犯類型繁多、網(wǎng)絡(luò)攻擊花樣百出,企業(yè)可以選擇的應(yīng)用安全增強(qiáng)方式也多種多樣。
為摸清應(yīng)用安全現(xiàn)狀,Cybersecurity Insiders與HelpSystems旗下Beyond Security合作,深入研究了網(wǎng)絡(luò)安全趨勢。研究報(bào)告基于對網(wǎng)絡(luò)安全專業(yè)人員的全面調(diào)查,深入分析了當(dāng)前的趨勢、挑戰(zhàn)和應(yīng)用安全解決方案。為創(chuàng)建平衡的代表性樣本,所選受訪者的職級、部門、所屬公司規(guī)模、行業(yè)和資源各不相同。
主要關(guān)切和挑戰(zhàn)
44%的受訪者稱,企業(yè)最大的應(yīng)用安全顧慮之一,是數(shù)據(jù)保護(hù)問題。此外,42%的受訪者擔(dān)憂難以跟上不斷增加的漏洞,38%關(guān)注威脅和數(shù)據(jù)泄露檢測,37%憂心云應(yīng)用安全保護(hù)問題。網(wǎng)絡(luò)安全專業(yè)人士的其他關(guān)注重點(diǎn)還包括保護(hù)自己開發(fā)的應(yīng)用(37%),以及抵御惡意軟件(29%)。
被問及哪些類型的應(yīng)用給企業(yè)帶來的安全風(fēng)險(xiǎn)最高時,42%的受訪者提到了面向客戶的Web應(yīng)用,40%則指向了老舊應(yīng)用。移動應(yīng)用(30%)、桌面應(yīng)用(28%)和面向內(nèi)部的Web應(yīng)用(26%)占比稍減,但仍構(gòu)成風(fēng)險(xiǎn)。
研究也努力調(diào)查了哪些潛在問題可能會阻礙企業(yè)更好地防御針對應(yīng)用的攻擊。受訪企業(yè)認(rèn)為,鞏固防御的主要障礙包括安全熟手短缺(39%)、員工安全意識低下(35%)和預(yù)算不足(35%),其次是部門之間缺乏協(xié)作(29%),管理支持和意識缺失(26%)。
在滲透測試業(yè)務(wù)應(yīng)用方面也表現(xiàn)出了類似的問題。被問及滲透測試面臨哪些重大挑戰(zhàn)時,25%的受訪者提到了難以招聘到技能嫻熟的員工,16%的受訪者表示測試盡可能多的應(yīng)用成本太高,而13%的受訪者則表示盡可能頻繁地進(jìn)行測試花費(fèi)太多。此外,45%的受訪者稱,快速開發(fā)和發(fā)布新軟件的壓力導(dǎo)致應(yīng)用開發(fā)人員忽視安全編碼實(shí)踐。
應(yīng)用攻擊:有多常見?都有哪些形式?
受訪企業(yè)中,44%經(jīng)歷過數(shù)據(jù)泄露,其中僅去年一年就有20%經(jīng)歷過數(shù)據(jù)泄露。雖然24%的受訪者沒有經(jīng)歷過任何數(shù)據(jù)泄露,但大約32%的受訪者不確定自己過去是否經(jīng)歷過應(yīng)用泄露或入侵。
至于過去12個月以來針對應(yīng)用的安全攻擊,31%的受訪者稱遭遇過惡意軟件攻擊,23%經(jīng)歷過分布式拒絕服務(wù)(DDoS)攻擊,21%經(jīng)歷了應(yīng)用錯誤配置,還有20%憑證被盜。雖然主要威脅幾乎沒變,但應(yīng)用攻擊的數(shù)量和風(fēng)險(xiǎn)都在上升。
企業(yè)如何抵御攻擊
絕大部分受訪企業(yè)(91%)都設(shè)置有某種專門的應(yīng)用安全計(jì)劃。盡管小部分受訪企業(yè)(9%)完全依賴外包應(yīng)用安全,但這些企業(yè)中有39%使用內(nèi)部管理,36%采用內(nèi)部和外包應(yīng)用安全相組合的方式。這表明,在很大程度上,企業(yè)至少部分依靠自家網(wǎng)絡(luò)安全人員的技術(shù)和專業(yè)知識來保護(hù)應(yīng)用安全。
想要保護(hù)業(yè)務(wù)應(yīng)用,可以在開發(fā)和發(fā)布期間的某個時間點(diǎn)或多個時間點(diǎn)執(zhí)行自動測試。在自動安全測試方面,54%的受訪企業(yè)在軟件發(fā)布生命周期中進(jìn)行了某種形式的自動化測試。其中,48%在軟件測試期間自動化安全測試,31%在監(jiān)測期間,29%在代碼開發(fā)期間,23%在產(chǎn)品發(fā)布期間。還有少部分受訪企業(yè)在運(yùn)營審查(16%)和規(guī)劃(15%)期間自動化安全測試。
總的說來,調(diào)研結(jié)果顯示,企業(yè)正認(rèn)真對待應(yīng)用安全問題,努力保護(hù)自身應(yīng)用不遭攻擊侵害。令人欣喜的是,51%的受訪者預(yù)計(jì)在未來12個月會增加應(yīng)用安全預(yù)算,34%的受訪者預(yù)計(jì)其預(yù)算將保持不變。
結(jié)語
應(yīng)用攻擊威脅日益嚴(yán)重,令企業(yè)深陷惡意軟件、中斷、盜竊和錯誤配置利用的風(fēng)險(xiǎn)之中。企業(yè)必須投入時間、精力和金錢來確保自身應(yīng)用安全,大多數(shù)受訪企業(yè)都將應(yīng)用安全視為頭等大事。
盡管企業(yè)明白應(yīng)用安全的重要性,也愿意努力保護(hù)應(yīng)用安全,但仍有一些障礙在阻礙企業(yè)實(shí)踐應(yīng)用安全防護(hù)。最大的障礙就是人手短缺、員工安全意識匱乏,以及沒有合適的預(yù)算來保護(hù)應(yīng)用。不過,超過一半的受訪者預(yù)計(jì)來年應(yīng)用安全的預(yù)算會增加。完整調(diào)研報(bào)告:https://www.beyondsecurity.com/application-security-survey-results