2020年云遷移加快后,應(yīng)用將面臨更多網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)
日前,全球領(lǐng)先的網(wǎng)絡(luò)安全和應(yīng)用交付解決方案提供商Radware公司發(fā)布了2020-2021年Web應(yīng)用安全現(xiàn)狀報(bào)告。
報(bào)告顯示,全球企業(yè)都難以跨多個(gè)平臺(tái)維持一致的應(yīng)用安全性,而且隨著新架構(gòu)的出現(xiàn)以及應(yīng)用編程接口(API)的采用,他們也失去了可見性。造成這些挑戰(zhàn)的一個(gè)主要因素就是,疫情大流行帶來了遠(yuǎn)程辦公和客戶參與模式,企業(yè)需要迅速調(diào)整來予以適應(yīng),這就讓決策者幾乎沒有時(shí)間來進(jìn)行充分的安全規(guī)劃。
Osterman研究公司的Michael Osterman表示:“隨著2020年快速向云遷移,我們很意外地發(fā)現(xiàn),企業(yè)中普遍存在不安全的移動(dòng)應(yīng)用、云應(yīng)用以及API。”
Radware首席運(yùn)營(yíng)官Gabi Malka表示:“70%以上的受訪者表示,他們的生產(chǎn)應(yīng)用已經(jīng)遠(yuǎn)離數(shù)據(jù)中心,確保這些數(shù)據(jù)和應(yīng)用的安全和完整性就變得更具挑戰(zhàn)性,尤其是在多云環(huán)境中。向云端的遷移,加上對(duì)API的日漸依賴以及不安全的移動(dòng)應(yīng)用,成為了犯罪分子的福音,讓他們可以在網(wǎng)絡(luò)安全方面領(lǐng)先一步。已遷移到公有云并有數(shù)個(gè)應(yīng)用暴露給API的受訪者似乎可以明白其中的風(fēng)險(xiǎn),而尚未遷移到云端也未采用API的受訪者還在沾沾自喜,似乎并未察覺到已危機(jī)四伏。”
以下為報(bào)告的主要發(fā)現(xiàn):
- API將是下一個(gè)重大威脅 企業(yè)將越來越依賴API形式的Web應(yīng)用。API可以處理各種各樣的敏感數(shù)據(jù)類型,如用戶憑證、支付信息、社會(huì)安全碼等。API濫用預(yù)計(jì)將成為最常見的攻擊矢量。因此,API安全將是企業(yè)在2021年最亟待修復(fù)的重要漏洞。
將近40%的受訪企業(yè)稱,一半以上的應(yīng)用會(huì)通過API向互聯(lián)網(wǎng)或第三方服務(wù)公開。約有55%的受訪企業(yè)每月至少都會(huì)遭受一次針對(duì)其API的DoS攻擊,49%的受訪企業(yè)每月至少會(huì)遭受一次某種形式的注入攻擊,42%的受訪企業(yè)每月至少會(huì)遭受一次元件/屬性篡改。
- 企業(yè)對(duì)機(jī)器人程序流量毫無(wú)準(zhǔn)備 由于很多企業(yè)還沒有做好準(zhǔn)確管理機(jī)器人程序流量的準(zhǔn)備,因此機(jī)器人程序管理也是一個(gè)重要問題。盡管Web應(yīng)用防火墻可以提供重要的防御功能來檢測(cè)并防止針對(duì)API的攻擊,但機(jī)器人程序管理工具則可以提供應(yīng)對(duì)復(fù)雜機(jī)器人程序攻擊的強(qiáng)大防御措施。這些工具讓安全團(tuán)隊(duì)可以更好地處理各種威脅和攻擊。
報(bào)告顯示,只有24%的企業(yè)部署了專門的解決方案來區(qū)分真實(shí)用戶和機(jī)器人。此外,只有39%的受訪企業(yè)十分自信可以應(yīng)對(duì)復(fù)雜的惡意機(jī)器人程序。
- 移動(dòng)應(yīng)用更不安全 2020年,多數(shù)信息工作者轉(zhuǎn)為居家辦公,大多數(shù)人也都使用移動(dòng)應(yīng)用來進(jìn)行娛樂、社交、教育和購(gòu)物,因此,移動(dòng)應(yīng)用發(fā)揮了重要作用。然而,移動(dòng)應(yīng)用開發(fā)卻極為不安全。這是因?yàn)椋苿?dòng)應(yīng)用通常是由第三方開發(fā)的。
此次研究發(fā)現(xiàn),只有36%的移動(dòng)應(yīng)用完全集成了安全,大部分的移動(dòng)應(yīng)用安全系數(shù)很低或根本不安全(22%)。因此,在移動(dòng)應(yīng)用安全性得到足夠重視之前,我們還會(huì)看到更多更嚴(yán)重的利用移動(dòng)通道發(fā)起的攻擊事件。這反過來可能會(huì)給企業(yè)帶來更大壓力,他們必須確保移動(dòng)應(yīng)用的安全,并確保消費(fèi)者數(shù)據(jù)不落入黑客之手。
- 安全人員不是主要的決策者 盡管報(bào)告中列出了各種威脅,但安全性并不是應(yīng)用開發(fā)實(shí)踐中首先要考慮的問題。在約90%的受訪企業(yè)中,安全人員并不是應(yīng)用開發(fā)架構(gòu)或預(yù)算的主要影響因素。約有43%的受訪企業(yè)表示,安全不應(yīng)該中斷端到端的發(fā)布周期自動(dòng)化。這就造成了這樣一種情況:負(fù)責(zé)安全的人幾乎無(wú)法控制應(yīng)用如何開發(fā)。
- DDoS攻擊不會(huì)消亡 最常見的機(jī)器人程序攻擊是不同形式的拒絕服務(wù)攻擊。約有86%的企業(yè)表示遭受了此類攻擊,三分之一的企業(yè)稱每周都會(huì)遭受攻擊,5%的企業(yè)每天都會(huì)遭受攻擊。針對(duì)應(yīng)用層的拒絕服務(wù)攻擊的常見形式就是HTTP/S洪水。約有60%的每月至少都會(huì)遭受一次HTTP洪水攻擊。
方法
Radware委托Osterman研究公司對(duì)員工數(shù)1000名以上的企業(yè)中的205名決策者和有影響力的人進(jìn)行了調(diào)查。受訪企業(yè)員工人數(shù)平均為2200人。受訪者的主要工作職責(zé)包括網(wǎng)絡(luò)安全、DevOps/DevSecOps、網(wǎng)絡(luò)運(yùn)維及相關(guān)職位、應(yīng)用開發(fā)、應(yīng)用安全以及其他各種IT和相關(guān)職位。多數(shù)受調(diào)查人員都是高層管理人員或管理人員,包括行政職位。
查看報(bào)告全文,請(qǐng)?jiān)L問:https://www.radware.com/resources/complete-protection/
關(guān)于Radware
Radware是為傳統(tǒng)數(shù)據(jù)中心、云數(shù)據(jù)中心和虛擬數(shù)據(jù)中心提供網(wǎng)絡(luò)安全和應(yīng)用交付解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎(chǔ)架構(gòu)、應(yīng)用及企業(yè)IT防護(hù)服務(wù),確保企業(yè)的數(shù)字體驗(yàn)。Radware解決方案成功幫助了全球12,500多家企業(yè)和運(yùn)營(yíng)商客戶快速應(yīng)對(duì)市場(chǎng)挑戰(zhàn),保持業(yè)務(wù)連續(xù)性,在實(shí)現(xiàn)最高生產(chǎn)效率的同時(shí)有效降低成本。欲知詳情,請(qǐng)?jiān)L問:www.radware.com.cn