为摸清应用安全现状,Cybersecurity Insiders与HelpSystems旗下Beyond Security合作,深入研究了网络安全趋势。研究报告基于对网络安全专业人员的全面调查,深入分析了当前的趋势、挑战和应用安全解决方案。为创建平衡的代表性样本,所选受访者的职级、部门、所属公司规模、行业和资源各不相同。
主要关切和挑战
44%的受访者称,企业最大的应用安全顾虑之一,是数据保护问题。此外,42%的受访者担忧难以跟上不断增加的漏洞,38%关注威胁和数据泄露检测,37%忧心云应用安全保护问题。网络安全专业人士的其他关注重点还包括保护自己开发的应用(37%),以及抵御恶意软件(29%)。
被问及哪些类型的应用给企业带来的安全风险最高时,42%的受访者提到了面向客户的Web应用,40%则指向了老旧应用。移动应用(30%)、桌面应用(28%)和面向内部的Web应用(26%)占比稍减,但仍构成风险。
研究也努力调查了哪些潜在问题可能会阻碍企业更好地防御针对应用的攻击。受访企业认为,巩固防御的主要障碍包括安全熟手短缺(39%)、员工安全意识低下(35%)和预算不足(35%),其次是部门之间缺乏协作(29%),管理支持和意识缺失(26%)。
在渗透测试业务应用方面也表现出了类似的问题。被问及渗透测试面临哪些重大挑战时,25%的受访者提到了难以招聘到技能娴熟的员工,16%的受访者表示测试尽可能多的应用成本太高,而13%的受访者则表示尽可能频繁地进行测试花费太多。此外,45%的受访者称,快速开发和发布新软件的压力导致应用开发人员忽视安全编码实践。
应用攻击:有多常见?都有哪些形式?
受访企业中,44%经历过数据泄露,其中仅去年一年就有20%经历过数据泄露。虽然24%的受访者没有经历过任何数据泄露,但大约32%的受访者不确定自己过去是否经历过应用泄露或入侵。
至于过去12个月以来针对应用的安全攻击,31%的受访者称遭遇过恶意软件攻击,23%经历过分布式拒绝服务(DDoS)攻击,21%经历了应用错误配置,还有20%凭证被盗。虽然主要威胁几乎没变,但应用攻击的数量和风险都在上升。
企业如何抵御攻击
绝大部分受访企业(91%)都设置有某种专门的应用安全计划。尽管小部分受访企业(9%)完全依赖外包应用安全,但这些企业中有39%使用内部管理,36%采用内部和外包应用安全相组合的方式。这表明,在很大程度上,企业至少部分依靠自家网络安全人员的技术和专业知识来保护应用安全。
想要保护业务应用,可以在开发和发布期间的某个时间点或多个时间点执行自动测试。在自动安全测试方面,54%的受访企业在软件发布生命周期中进行了某种形式的自动化测试。其中,48%在软件测试期间自动化安全测试,31%在监测期间,29%在代码开发期间,23%在产品发布期间。还有少部分受访企业在运营审查(16%)和规划(15%)期间自动化安全测试。
总的说来,调研结果显示,企业正认真对待应用安全问题,努力保护自身应用不遭攻击侵害。令人欣喜的是,51%的受访者预计在未来12个月会增加应用安全预算,34%的受访者预计其预算将保持不变。
结语
应用攻击威胁日益严重,令企业深陷恶意软件、中断、盗窃和错误配置利用的风险之中。企业必须投入时间、精力和金钱来确保自身应用安全,大多数受访企业都将应用安全视为头等大事。
尽管企业明白应用安全的重要性,也愿意努力保护应用安全,但仍有一些障碍在阻碍企业实践应用安全防护。最大的障碍就是人手短缺、员工安全意识匮乏,以及没有合适的预算来保护应用。不过,超过一半的受访者预计来年应用安全的预算会增加。
