日前,全球領(lǐng)先的網(wǎng)絡(luò)安全和應(yīng)用交付解決方案提供商Radware公司發(fā)布了2020-2021年Web應(yīng)用安全現(xiàn)狀報告。
報告顯示,全球企業(yè)都難以跨多個平臺維持一致的應(yīng)用安全性,而且隨著新架構(gòu)的出現(xiàn)以及應(yīng)用編程接口(API)的采用,他們也失去了可見性。造成這些挑戰(zhàn)的一個主要因素就是,疫情大流行帶來了遠(yuǎn)程辦公和客戶參與模式,企業(yè)需要迅速調(diào)整來予以適應(yīng),這就讓決策者幾乎沒有時間來進行充分的安全規(guī)劃。
Osterman研究公司的Michael Osterman表示:“隨著2020年快速向云遷移,我們很意外地發(fā)現(xiàn),企業(yè)中普遍存在不安全的移動應(yīng)用、云應(yīng)用以及API。”
Radware首席運營官Gabi Malka表示:“70%以上的受訪者表示,他們的生產(chǎn)應(yīng)用已經(jīng)遠(yuǎn)離數(shù)據(jù)中心,確保這些數(shù)據(jù)和應(yīng)用的安全和完整性就變得更具挑戰(zhàn)性,尤其是在多云環(huán)境中。向云端的遷移,加上對API的日漸依賴以及不安全的移動應(yīng)用,成為了犯罪分子的福音,讓他們可以在網(wǎng)絡(luò)安全方面領(lǐng)先一步。已遷移到公有云并有數(shù)個應(yīng)用暴露給API的受訪者似乎可以明白其中的風(fēng)險,而尚未遷移到云端也未采用API的受訪者還在沾沾自喜,似乎并未察覺到已危機四伏。”
以下為報告的主要發(fā)現(xiàn):
- API將是下一個重大威脅 企業(yè)將越來越依賴API形式的Web應(yīng)用。API可以處理各種各樣的敏感數(shù)據(jù)類型,如用戶憑證、支付信息、社會安全碼等。API濫用預(yù)計將成為最常見的攻擊矢量。因此,API安全將是企業(yè)在2021年最亟待修復(fù)的重要漏洞。
將近40%的受訪企業(yè)稱,一半以上的應(yīng)用會通過API向互聯(lián)網(wǎng)或第三方服務(wù)公開。約有55%的受訪企業(yè)每月至少都會遭受一次針對其API的DoS攻擊,49%的受訪企業(yè)每月至少會遭受一次某種形式的注入攻擊,42%的受訪企業(yè)每月至少會遭受一次元件/屬性篡改。
- 企業(yè)對機器人程序流量毫無準(zhǔn)備 由于很多企業(yè)還沒有做好準(zhǔn)確管理機器人程序流量的準(zhǔn)備,因此機器人程序管理也是一個重要問題。盡管Web應(yīng)用防火墻可以提供重要的防御功能來檢測并防止針對API的攻擊,但機器人程序管理工具則可以提供應(yīng)對復(fù)雜機器人程序攻擊的強大防御措施。這些工具讓安全團隊可以更好地處理各種威脅和攻擊。
報告顯示,只有24%的企業(yè)部署了專門的解決方案來區(qū)分真實用戶和機器人。此外,只有39%的受訪企業(yè)十分自信可以應(yīng)對復(fù)雜的惡意機器人程序。
- 移動應(yīng)用更不安全 2020年,多數(shù)信息工作者轉(zhuǎn)為居家辦公,大多數(shù)人也都使用移動應(yīng)用來進行娛樂、社交、教育和購物,因此,移動應(yīng)用發(fā)揮了重要作用。然而,移動應(yīng)用開發(fā)卻極為不安全。這是因為,移動應(yīng)用通常是由第三方開發(fā)的。
此次研究發(fā)現(xiàn),只有36%的移動應(yīng)用完全集成了安全,大部分的移動應(yīng)用安全系數(shù)很低或根本不安全(22%)。因此,在移動應(yīng)用安全性得到足夠重視之前,我們還會看到更多更嚴(yán)重的利用移動通道發(fā)起的攻擊事件。這反過來可能會給企業(yè)帶來更大壓力,他們必須確保移動應(yīng)用的安全,并確保消費者數(shù)據(jù)不落入黑客之手。
- 安全人員不是主要的決策者 盡管報告中列出了各種威脅,但安全性并不是應(yīng)用開發(fā)實踐中首先要考慮的問題。在約90%的受訪企業(yè)中,安全人員并不是應(yīng)用開發(fā)架構(gòu)或預(yù)算的主要影響因素。約有43%的受訪企業(yè)表示,安全不應(yīng)該中斷端到端的發(fā)布周期自動化。這就造成了這樣一種情況:負(fù)責(zé)安全的人幾乎無法控制應(yīng)用如何開發(fā)。
- DDoS攻擊不會消亡 最常見的機器人程序攻擊是不同形式的拒絕服務(wù)攻擊。約有86%的企業(yè)表示遭受了此類攻擊,三分之一的企業(yè)稱每周都會遭受攻擊,5%的企業(yè)每天都會遭受攻擊。針對應(yīng)用層的拒絕服務(wù)攻擊的常見形式就是HTTP/S洪水。約有60%的每月至少都會遭受一次HTTP洪水攻擊。
方法
Radware委托Osterman研究公司對員工數(shù)1000名以上的企業(yè)中的205名決策者和有影響力的人進行了調(diào)查。受訪企業(yè)員工人數(shù)平均為2200人。受訪者的主要工作職責(zé)包括網(wǎng)絡(luò)安全、DevOps/DevSecOps、網(wǎng)絡(luò)運維及相關(guān)職位、應(yīng)用開發(fā)、應(yīng)用安全以及其他各種IT和相關(guān)職位。多數(shù)受調(diào)查人員都是高層管理人員或管理人員,包括行政職位。
查看報告全文,請訪問:https://www.radware.com/resources/complete-protection/
關(guān)于Radware
Radware是為傳統(tǒng)數(shù)據(jù)中心、云數(shù)據(jù)中心和虛擬數(shù)據(jù)中心提供網(wǎng)絡(luò)安全和應(yīng)用交付解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎(chǔ)架構(gòu)、應(yīng)用及企業(yè)IT防護服務(wù),確保企業(yè)的數(shù)字體驗。Radware解決方案成功幫助了全球12,500多家企業(yè)和運營商客戶快速應(yīng)對市場挑戰(zhàn),保持業(yè)務(wù)連續(xù)性,在實現(xiàn)最高生產(chǎn)效率的同時有效降低成本。欲知詳情,請訪問:www.radware.com.cn