行業(yè)動(dòng)態(tài)

2022年應(yīng)用安全報(bào)告:重要趨勢(shì)與挑戰(zhàn)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-08-17    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


當(dāng)今世界,網(wǎng)絡(luò)安全狀況不斷變化,新型威脅層出不窮,所有企業(yè)都應(yīng)將安全視為頭等大事。業(yè)務(wù)應(yīng)用越來越為網(wǎng)絡(luò)犯罪分子所垂涎,其抵御攻擊的能力成為了運(yùn)營(yíng)的重要組成部分。正如網(wǎng)絡(luò)罪犯類型繁多、網(wǎng)絡(luò)攻擊花樣百出,企業(yè)可以選擇的應(yīng)用安全增強(qiáng)方式也多種多樣。

為摸清應(yīng)用安全現(xiàn)狀,Cybersecurity Insiders與HelpSystems旗下Beyond Security合作,深入研究了網(wǎng)絡(luò)安全趨勢(shì)。研究報(bào)告基于對(duì)網(wǎng)絡(luò)安全專業(yè)人員的全面調(diào)查,深入分析了當(dāng)前的趨勢(shì)、挑戰(zhàn)和應(yīng)用安全解決方案。為創(chuàng)建平衡的代表性樣本,所選受訪者的職級(jí)、部門、所屬公司規(guī)模、行業(yè)和資源各不相同。

主要關(guān)切和挑戰(zhàn)

44%的受訪者稱,企業(yè)最大的應(yīng)用安全顧慮之一,是數(shù)據(jù)保護(hù)問題。此外,42%的受訪者擔(dān)憂難以跟上不斷增加的漏洞,38%關(guān)注威脅和數(shù)據(jù)泄露檢測(cè),37%憂心云應(yīng)用安全保護(hù)問題。網(wǎng)絡(luò)安全專業(yè)人士的其他關(guān)注重點(diǎn)還包括保護(hù)自己開發(fā)的應(yīng)用(37%),以及抵御惡意軟件(29%)。

被問及哪些類型的應(yīng)用給企業(yè)帶來的安全風(fēng)險(xiǎn)最高時(shí),42%的受訪者提到了面向客戶的Web應(yīng)用,40%則指向了老舊應(yīng)用。移動(dòng)應(yīng)用(30%)、桌面應(yīng)用(28%)和面向內(nèi)部的Web應(yīng)用(26%)占比稍減,但仍構(gòu)成風(fēng)險(xiǎn)。

研究也努力調(diào)查了哪些潛在問題可能會(huì)阻礙企業(yè)更好地防御針對(duì)應(yīng)用的攻擊。受訪企業(yè)認(rèn)為,鞏固防御的主要障礙包括安全熟手短缺(39%)、員工安全意識(shí)低下(35%)和預(yù)算不足(35%),其次是部門之間缺乏協(xié)作(29%),管理支持和意識(shí)缺失(26%)。

在滲透測(cè)試業(yè)務(wù)應(yīng)用方面也表現(xiàn)出了類似的問題。被問及滲透測(cè)試面臨哪些重大挑戰(zhàn)時(shí),25%的受訪者提到了難以招聘到技能嫻熟的員工,16%的受訪者表示測(cè)試盡可能多的應(yīng)用成本太高,而13%的受訪者則表示盡可能頻繁地進(jìn)行測(cè)試花費(fèi)太多。此外,45%的受訪者稱,快速開發(fā)和發(fā)布新軟件的壓力導(dǎo)致應(yīng)用開發(fā)人員忽視安全編碼實(shí)踐。

應(yīng)用攻擊:有多常見?都有哪些形式?

受訪企業(yè)中,44%經(jīng)歷過數(shù)據(jù)泄露,其中僅去年一年就有20%經(jīng)歷過數(shù)據(jù)泄露。雖然24%的受訪者沒有經(jīng)歷過任何數(shù)據(jù)泄露,但大約32%的受訪者不確定自己過去是否經(jīng)歷過應(yīng)用泄露或入侵。

至于過去12個(gè)月以來針對(duì)應(yīng)用的安全攻擊,31%的受訪者稱遭遇過惡意軟件攻擊,23%經(jīng)歷過分布式拒絕服務(wù)(DDoS)攻擊,21%經(jīng)歷了應(yīng)用錯(cuò)誤配置,還有20%憑證被盜。雖然主要威脅幾乎沒變,但應(yīng)用攻擊的數(shù)量和風(fēng)險(xiǎn)都在上升。

企業(yè)如何抵御攻擊

絕大部分受訪企業(yè)(91%)都設(shè)置有某種專門的應(yīng)用安全計(jì)劃。盡管小部分受訪企業(yè)(9%)完全依賴外包應(yīng)用安全,但這些企業(yè)中有39%使用內(nèi)部管理,36%采用內(nèi)部和外包應(yīng)用安全相組合的方式。這表明,在很大程度上,企業(yè)至少部分依靠自家網(wǎng)絡(luò)安全人員的技術(shù)和專業(yè)知識(shí)來保護(hù)應(yīng)用安全。

想要保護(hù)業(yè)務(wù)應(yīng)用,可以在開發(fā)和發(fā)布期間的某個(gè)時(shí)間點(diǎn)或多個(gè)時(shí)間點(diǎn)執(zhí)行自動(dòng)測(cè)試。在自動(dòng)安全測(cè)試方面,54%的受訪企業(yè)在軟件發(fā)布生命周期中進(jìn)行了某種形式的自動(dòng)化測(cè)試。其中,48%在軟件測(cè)試期間自動(dòng)化安全測(cè)試,31%在監(jiān)測(cè)期間,29%在代碼開發(fā)期間,23%在產(chǎn)品發(fā)布期間。還有少部分受訪企業(yè)在運(yùn)營(yíng)審查(16%)和規(guī)劃(15%)期間自動(dòng)化安全測(cè)試。

總的說來,調(diào)研結(jié)果顯示,企業(yè)正認(rèn)真對(duì)待應(yīng)用安全問題,努力保護(hù)自身應(yīng)用不遭攻擊侵害。令人欣喜的是,51%的受訪者預(yù)計(jì)在未來12個(gè)月會(huì)增加應(yīng)用安全預(yù)算,34%的受訪者預(yù)計(jì)其預(yù)算將保持不變。

結(jié)語

應(yīng)用攻擊威脅日益嚴(yán)重,令企業(yè)深陷惡意軟件、中斷、盜竊和錯(cuò)誤配置利用的風(fēng)險(xiǎn)之中。企業(yè)必須投入時(shí)間、精力和金錢來確保自身應(yīng)用安全,大多數(shù)受訪企業(yè)都將應(yīng)用安全視為頭等大事。

盡管企業(yè)明白應(yīng)用安全的重要性,也愿意努力保護(hù)應(yīng)用安全,但仍有一些障礙在阻礙企業(yè)實(shí)踐應(yīng)用安全防護(hù)。最大的障礙就是人手短缺、員工安全意識(shí)匱乏,以及沒有合適的預(yù)算來保護(hù)應(yīng)用。不過,超過一半的受訪者預(yù)計(jì)來年應(yīng)用安全的預(yù)算會(huì)增加。完整調(diào)研報(bào)告:https://www.beyondsecurity.com/application-security-survey-results

 
 

上一篇:2022年8月16日聚銘安全速遞

下一篇:阿根廷地方司法機(jī)構(gòu)遭勒索軟件攻擊:IT系統(tǒng)全部關(guān)閉 被迫紙筆辦公