信息化觀察網(wǎng)

本文來(lái)自數(shù)世咨詢，作者/nana.

當(dāng)今世界，網(wǎng)絡(luò)安全狀況不斷變化，新型威脅層出不窮，所有企業(yè)都應(yīng)將安全視為頭等大事。業(yè)務(wù)應(yīng)用越來(lái)越為網(wǎng)絡(luò)犯罪分子所垂涎，其抵御攻擊的能力成為了運(yùn)營(yíng)的重要組成部分。正如網(wǎng)絡(luò)罪犯類型繁多、網(wǎng)絡(luò)攻擊花樣百出，企業(yè)可以選擇的應(yīng)用安全增強(qiáng)方式也多種多樣。

為摸清應(yīng)用安全現(xiàn)狀，Cybersecurity Insiders與HelpSystems旗下Beyond Security合作，深入研究了網(wǎng)絡(luò)安全趨勢(shì)。研究報(bào)告基于對(duì)網(wǎng)絡(luò)安全專業(yè)人員的全面調(diào)查，深入分析了當(dāng)前的趨勢(shì)、挑戰(zhàn)和應(yīng)用安全解決方案。為創(chuàng)建平衡的代表性樣本，所選受訪者的職級(jí)、部門、所屬公司規(guī)模、行業(yè)和資源各不相同。

主要關(guān)切和挑戰(zhàn)

44%的受訪者稱，企業(yè)最大的應(yīng)用安全顧慮之一，是數(shù)據(jù)保護(hù)問題。此外，42%的受訪者擔(dān)憂難以跟上不斷增加的漏洞，38%關(guān)注威脅和數(shù)據(jù)泄露檢測(cè)，37%憂心云應(yīng)用安全保護(hù)問題。網(wǎng)絡(luò)安全專業(yè)人士的其他關(guān)注重點(diǎn)還包括保護(hù)自己開發(fā)的應(yīng)用（37%），以及抵御惡意軟件（29%）。

被問及哪些類型的應(yīng)用給企業(yè)帶來(lái)的安全風(fēng)險(xiǎn)最高時(shí)，42%的受訪者提到了面向客戶的Web應(yīng)用，40%則指向了老舊應(yīng)用。移動(dòng)應(yīng)用（30%）、桌面應(yīng)用（28%）和面向內(nèi)部的Web應(yīng)用（26%）占比稍減，但仍構(gòu)成風(fēng)險(xiǎn)。

研究也努力調(diào)查了哪些潛在問題可能會(huì)阻礙企業(yè)更好地防御針對(duì)應(yīng)用的攻擊。受訪企業(yè)認(rèn)為，鞏固防御的主要障礙包括安全熟手短缺（39%）、員工安全意識(shí)低下（35%）和預(yù)算不足（35%），其次是部門之間缺乏協(xié)作（29%），管理支持和意識(shí)缺失（26%）。

在滲透測(cè)試業(yè)務(wù)應(yīng)用方面也表現(xiàn)出了類似的問題。被問及滲透測(cè)試面臨哪些重大挑戰(zhàn)時(shí)，25%的受訪者提到了難以招聘到技能嫻熟的員工，16%的受訪者表示測(cè)試盡可能多的應(yīng)用成本太高，而13%的受訪者則表示盡可能頻繁地進(jìn)行測(cè)試花費(fèi)太多。此外，45%的受訪者稱，快速開發(fā)和發(fā)布新軟件的壓力導(dǎo)致應(yīng)用開發(fā)人員忽視安全編碼實(shí)踐。

應(yīng)用攻擊：有多常見？都有哪些形式？

受訪企業(yè)中，44%經(jīng)歷過數(shù)據(jù)泄露，其中僅去年一年就有20%經(jīng)歷過數(shù)據(jù)泄露。雖然24%的受訪者沒有經(jīng)歷過任何數(shù)據(jù)泄露，但大約32%的受訪者不確定自己過去是否經(jīng)歷過應(yīng)用泄露或入侵。

至于過去12個(gè)月以來(lái)針對(duì)應(yīng)用的安全攻擊，31%的受訪者稱遭遇過惡意軟件攻擊，23%經(jīng)歷過分布式拒絕服務(wù)（DDoS）攻擊，21%經(jīng)歷了應(yīng)用錯(cuò)誤配置，還有20%憑證被盜。雖然主要威脅幾乎沒變，但應(yīng)用攻擊的數(shù)量和風(fēng)險(xiǎn)都在上升。

企業(yè)如何抵御攻擊

絕大部分受訪企業(yè)（91%）都設(shè)置有某種專門的應(yīng)用安全計(jì)劃。盡管小部分受訪企業(yè)（9%）完全依賴外包應(yīng)用安全，但這些企業(yè)中有39%使用內(nèi)部管理，36%采用內(nèi)部和外包應(yīng)用安全相組合的方式。這表明，在很大程度上，企業(yè)至少部分依靠自家網(wǎng)絡(luò)安全人員的技術(shù)和專業(yè)知識(shí)來(lái)保護(hù)應(yīng)用安全。

想要保護(hù)業(yè)務(wù)應(yīng)用，可以在開發(fā)和發(fā)布期間的某個(gè)時(shí)間點(diǎn)或多個(gè)時(shí)間點(diǎn)執(zhí)行自動(dòng)測(cè)試。在自動(dòng)安全測(cè)試方面，54%的受訪企業(yè)在軟件發(fā)布生命周期中進(jìn)行了某種形式的自動(dòng)化測(cè)試。其中，48%在軟件測(cè)試期間自動(dòng)化安全測(cè)試，31%在監(jiān)測(cè)期間，29%在代碼開發(fā)期間，23%在產(chǎn)品發(fā)布期間。還有少部分受訪企業(yè)在運(yùn)營(yíng)審查（16%）和規(guī)劃（15%）期間自動(dòng)化安全測(cè)試。

總的說來(lái)，調(diào)研結(jié)果顯示，企業(yè)正認(rèn)真對(duì)待應(yīng)用安全問題，努力保護(hù)自身應(yīng)用不遭攻擊侵害。令人欣喜的是，51%的受訪者預(yù)計(jì)在未來(lái)12個(gè)月會(huì)增加應(yīng)用安全預(yù)算，34%的受訪者預(yù)計(jì)其預(yù)算將保持不變。

結(jié)語(yǔ)

應(yīng)用攻擊威脅日益嚴(yán)重，令企業(yè)深陷惡意軟件、中斷、盜竊和錯(cuò)誤配置利用的風(fēng)險(xiǎn)之中。企業(yè)必須投入時(shí)間、精力和金錢來(lái)確保自身應(yīng)用安全，大多數(shù)受訪企業(yè)都將應(yīng)用安全視為頭等大事。

盡管企業(yè)明白應(yīng)用安全的重要性，也愿意努力保護(hù)應(yīng)用安全，但仍有一些障礙在阻礙企業(yè)實(shí)踐應(yīng)用安全防護(hù)。最大的障礙就是人手短缺、員工安全意識(shí)匱乏，以及沒有合適的預(yù)算來(lái)保護(hù)應(yīng)用。不過，超過一半的受訪者預(yù)計(jì)來(lái)年應(yīng)用安全的預(yù)算會(huì)增加。