2022年應(yīng)用安全報告:重要趨勢與挑戰(zhàn)

當今世界,網(wǎng)絡(luò)安全狀況不斷變化,新型威脅層出不窮,所有企業(yè)都應(yīng)將安全視為頭等大事。業(yè)務(wù)應(yīng)用越來越為網(wǎng)絡(luò)犯罪分子所垂涎,其抵御攻擊的能力成為了運營的重要組成部分。正如網(wǎng)絡(luò)罪犯類型繁多、網(wǎng)絡(luò)攻擊花樣百出,企業(yè)可以選擇的應(yīng)用安全增強方式也多種多樣。

QQ截圖20220104093506.png

本文來自數(shù)世咨詢,作者/nana.

當今世界,網(wǎng)絡(luò)安全狀況不斷變化,新型威脅層出不窮,所有企業(yè)都應(yīng)將安全視為頭等大事。業(yè)務(wù)應(yīng)用越來越為網(wǎng)絡(luò)犯罪分子所垂涎,其抵御攻擊的能力成為了運營的重要組成部分。正如網(wǎng)絡(luò)罪犯類型繁多、網(wǎng)絡(luò)攻擊花樣百出,企業(yè)可以選擇的應(yīng)用安全增強方式也多種多樣。

為摸清應(yīng)用安全現(xiàn)狀,Cybersecurity Insiders與HelpSystems旗下Beyond Security合作,深入研究了網(wǎng)絡(luò)安全趨勢。研究報告基于對網(wǎng)絡(luò)安全專業(yè)人員的全面調(diào)查,深入分析了當前的趨勢、挑戰(zhàn)和應(yīng)用安全解決方案。為創(chuàng)建平衡的代表性樣本,所選受訪者的職級、部門、所屬公司規(guī)模、行業(yè)和資源各不相同。

主要關(guān)切和挑戰(zhàn)

44%的受訪者稱,企業(yè)最大的應(yīng)用安全顧慮之一,是數(shù)據(jù)保護問題。此外,42%的受訪者擔憂難以跟上不斷增加的漏洞,38%關(guān)注威脅和數(shù)據(jù)泄露檢測,37%憂心云應(yīng)用安全保護問題。網(wǎng)絡(luò)安全專業(yè)人士的其他關(guān)注重點還包括保護自己開發(fā)的應(yīng)用(37%),以及抵御惡意軟件(29%)。

被問及哪些類型的應(yīng)用給企業(yè)帶來的安全風險最高時,42%的受訪者提到了面向客戶的Web應(yīng)用,40%則指向了老舊應(yīng)用。移動應(yīng)用(30%)、桌面應(yīng)用(28%)和面向內(nèi)部的Web應(yīng)用(26%)占比稍減,但仍構(gòu)成風險。

QQ截圖20220104093506.png

研究也努力調(diào)查了哪些潛在問題可能會阻礙企業(yè)更好地防御針對應(yīng)用的攻擊。受訪企業(yè)認為,鞏固防御的主要障礙包括安全熟手短缺(39%)、員工安全意識低下(35%)和預(yù)算不足(35%),其次是部門之間缺乏協(xié)作(29%),管理支持和意識缺失(26%)。

在滲透測試業(yè)務(wù)應(yīng)用方面也表現(xiàn)出了類似的問題。被問及滲透測試面臨哪些重大挑戰(zhàn)時,25%的受訪者提到了難以招聘到技能嫻熟的員工,16%的受訪者表示測試盡可能多的應(yīng)用成本太高,而13%的受訪者則表示盡可能頻繁地進行測試花費太多。此外,45%的受訪者稱,快速開發(fā)和發(fā)布新軟件的壓力導致應(yīng)用開發(fā)人員忽視安全編碼實踐。

應(yīng)用攻擊:有多常見?都有哪些形式?

受訪企業(yè)中,44%經(jīng)歷過數(shù)據(jù)泄露,其中僅去年一年就有20%經(jīng)歷過數(shù)據(jù)泄露。雖然24%的受訪者沒有經(jīng)歷過任何數(shù)據(jù)泄露,但大約32%的受訪者不確定自己過去是否經(jīng)歷過應(yīng)用泄露或入侵。

至于過去12個月以來針對應(yīng)用的安全攻擊,31%的受訪者稱遭遇過惡意軟件攻擊,23%經(jīng)歷過分布式拒絕服務(wù)(DDoS)攻擊,21%經(jīng)歷了應(yīng)用錯誤配置,還有20%憑證被盜。雖然主要威脅幾乎沒變,但應(yīng)用攻擊的數(shù)量和風險都在上升。

企業(yè)如何抵御攻擊

絕大部分受訪企業(yè)(91%)都設(shè)置有某種專門的應(yīng)用安全計劃。盡管小部分受訪企業(yè)(9%)完全依賴外包應(yīng)用安全,但這些企業(yè)中有39%使用內(nèi)部管理,36%采用內(nèi)部和外包應(yīng)用安全相組合的方式。這表明,在很大程度上,企業(yè)至少部分依靠自家網(wǎng)絡(luò)安全人員的技術(shù)和專業(yè)知識來保護應(yīng)用安全。

想要保護業(yè)務(wù)應(yīng)用,可以在開發(fā)和發(fā)布期間的某個時間點或多個時間點執(zhí)行自動測試。在自動安全測試方面,54%的受訪企業(yè)在軟件發(fā)布生命周期中進行了某種形式的自動化測試。其中,48%在軟件測試期間自動化安全測試,31%在監(jiān)測期間,29%在代碼開發(fā)期間,23%在產(chǎn)品發(fā)布期間。還有少部分受訪企業(yè)在運營審查(16%)和規(guī)劃(15%)期間自動化安全測試。

總的說來,調(diào)研結(jié)果顯示,企業(yè)正認真對待應(yīng)用安全問題,努力保護自身應(yīng)用不遭攻擊侵害。令人欣喜的是,51%的受訪者預(yù)計在未來12個月會增加應(yīng)用安全預(yù)算,34%的受訪者預(yù)計其預(yù)算將保持不變。

結(jié)語

應(yīng)用攻擊威脅日益嚴重,令企業(yè)深陷惡意軟件、中斷、盜竊和錯誤配置利用的風險之中。企業(yè)必須投入時間、精力和金錢來確保自身應(yīng)用安全,大多數(shù)受訪企業(yè)都將應(yīng)用安全視為頭等大事。

盡管企業(yè)明白應(yīng)用安全的重要性,也愿意努力保護應(yīng)用安全,但仍有一些障礙在阻礙企業(yè)實踐應(yīng)用安全防護。最大的障礙就是人手短缺、員工安全意識匱乏,以及沒有合適的預(yù)算來保護應(yīng)用。不過,超過一半的受訪者預(yù)計來年應(yīng)用安全的預(yù)算會增加。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論