79%的企業(yè)無(wú)法確定Web流量是來(lái)自人還是計算機程序
日前,全球領(lǐng)先的網(wǎng)絡(luò )安全和應用交付解決方案提供商Radware公司最新發(fā)布了一項名為Radware研究報告:數字連接領(lǐng)域的Web應用安全的報告。該報告深入研究了企業(yè)如何保護Web應用的安全,確定了常見(jiàn)DevOps實(shí)踐中顯而易見(jiàn)的安全差距,強調了主要的攻擊類(lèi)型和載體,并確定了風(fēng)險和需要關(guān)注的重要領(lǐng)域。
該研究集中在零售、醫療和金融服務(wù)等成為目標的可能性很高的行業(yè),揭露了機器人程序催生的Web流量的激增以及對企業(yè)應用安全的影響。事實(shí)上,機器人程序產(chǎn)生的流量在所有互聯(lián)網(wǎng)流量流中所占的比例超過(guò)一半(52%)。對某些企業(yè)而言,機器人程序流量占了總體流量的75%以上。由于三分之一(33%)的企業(yè)無(wú)法區分‘健康’機器人程序和‘不良’機器人程序,因此這一發(fā)現的意義就更加重大了。
報告還發(fā)現,將近一半(45%)的受訪(fǎng)者在過(guò)去一年都遭受了數據泄露,68%的受訪(fǎng)者不確定是否能夠保護企業(yè)信息安全。更重要的是,企業(yè)還是會(huì )經(jīng)常丟失被保護的敏感數據。事實(shí)上,52%的企業(yè)并沒(méi)有檢查進(jìn)出API的流量,56%的企業(yè)無(wú)法在數據離開(kāi)企業(yè)之后進(jìn)行追蹤。
任何可以采集歐洲公民信息的企業(yè)在不久的未來(lái)都必須要滿(mǎn)足由通用數據保護條例(GDPR)強加的嚴格數據隱私法。這些條例將于2018年5月生效。然而,在截止日期前不到一年的時(shí)間,68%的企業(yè)仍然不確定他們是否能及時(shí)滿(mǎn)足這些要求。
Radware安全解決方案副總裁Carl Herberger表示:“令人擔憂(yōu)的是,來(lái)自擁有數百萬(wàn)消費者敏感數據的企業(yè)的高管對自身安全沒(méi)有信心。他們了解這些風(fēng)險,但盲點(diǎn)仍會(huì )繼續構成威脅。在企業(yè)掌握漏洞所在并采取防護措施之前,重大攻擊和數據泄露事件仍將繼續成為焦點(diǎn)。”
Larry Ponemon博士表示:“該報告明確指出,持續交付應用服務(wù)的壓力限制了DevOps在SDLC的各個(gè)階段確保Web應用安全的能力。”
主要調查結果包括:
- 應用安全是事后諸葛亮。每個(gè)人都希望實(shí)現APP開(kāi)發(fā)提供的持續交付模型所需的全面自動(dòng)化和靈活性。目前,一半(49%)的受訪(fǎng)者使用了持續交付的應用服務(wù),另有21%的企業(yè)計劃在未來(lái)12-24個(gè)月內采用。然而,持續交付會(huì )增加APP開(kāi)發(fā)的安全挑戰:62%的企業(yè)預計這會(huì )增加攻擊范圍,約有一半的企業(yè)表示,他們沒(méi)有在持續交付過(guò)程中整合安全。
- 機器人程序正在逐漸占據市場(chǎng)。現在,機器人程序成為了在線(xiàn)零售的支柱。零售商們會(huì )將機器人程序用于價(jià)格匯總、電子優(yōu)惠券、聊天機器人等。事實(shí)上,41%的零售商表示,75%以上的流量都來(lái)自于機器人程序,而40%的零售商卻仍不能區分“健康”機器人程序和“不良”機器人程序。惡意機器人程序才是真正的風(fēng)險所在。Web抓取攻擊會(huì )通過(guò)竊取知識產(chǎn)權、降低價(jià)格、在不確定的情況下持有大量庫存,以及通過(guò)未授權渠道加價(jià)買(mǎi)光庫存進(jìn)行商品轉售,來(lái)打擊零售商。但機器人程序并不是零售商獨有的問(wèn)題。在醫療行業(yè),42%的流量來(lái)自于機器人程序,只有20%的IT安全主管確信可以識別出“不良”機器人程序。
- API安全經(jīng)常會(huì )被忽略。約有60%的企業(yè)會(huì )通過(guò)API共享并使用個(gè)人身份信息、用戶(hù)名/密碼、付款細節、醫療記錄等數據。然而,52%的企業(yè)并不會(huì )檢查通過(guò)API傳輸的數據,51%的企業(yè)不會(huì )在整合之前執行任何安全審計或分析API漏洞。
- 對零售商而言,假日風(fēng)險很高。假日期間,零售商會(huì )面臨兩種截然不同但破壞力極大的威脅:中斷和數據泄露。假日期間零售商會(huì )賺取大量利潤,在此期間出現的Web中斷可能會(huì )帶來(lái)災難性的經(jīng)濟后果。然而,一半以上(53%)的企業(yè)不確信是否可以為應用服務(wù)提供100%的正常運行時(shí)間。黑色星期五和網(wǎng)絡(luò )星期一等高需求時(shí)段也會(huì )給客戶(hù)數據帶來(lái)麻煩:30%的零售商表示無(wú)法在這些時(shí)段保護敏感數據的安全。
- 患者的醫療數據也面臨風(fēng)險。只有27%的醫療行業(yè)受訪(fǎng)者有信心可以保護患者的醫療記錄,即使將近80%的數據必須符合政府規定。修復系統對企業(yè)安全而言至關(guān)重要,他們能夠緩解當前的領(lǐng)先威脅,但只有62%的醫療受訪(fǎng)者對企業(yè)是否能夠快速使用安全補丁并在不破壞運營(yíng)的前提下進(jìn)行更新信心不足或沒(méi)有信心。一半以上(55%)的醫療機構表示,在數據離開(kāi)公司網(wǎng)絡(luò )之后,他們無(wú)法追蹤與第三方共享的數據。醫療機構不太可能會(huì )監控可以竊取數據的Darknet,只有37%的醫療機構可以這樣做,金融服務(wù)的比例為56%,零售業(yè)為48%。
- 多個(gè)接觸點(diǎn)意味著(zhù)更高的風(fēng)險。新的金融技術(shù)(如移動(dòng)支付)的興起增加了與消費者的接觸機會(huì )和次數,這反過(guò)來(lái)也會(huì )增加漏洞接入點(diǎn)的數量,并擴大安全主管面臨的風(fēng)險。盡管有72%的金融服務(wù)企業(yè)會(huì )通過(guò)API共享用戶(hù)名和密碼,58%的企業(yè)通過(guò)API共享支付細節,51%的企業(yè)不會(huì )加密流量,這可能會(huì )將傳輸中的高價(jià)值數據泄露出去。
這項調查是由Ponemon研究所代表Radware進(jìn)行的,涵蓋了來(lái)自六大洲的跨零售、醫療和金融服務(wù)行業(yè)的600多位首席信息安全官和其他安全領(lǐng)袖。
查看完整調查結果報告,請點(diǎn)擊下載:Radware研究報告:數字連接領(lǐng)域的Web應用安全報告。https://www.radware.com/WebApplicationSecurityReport/
關(guān)于Radware
Radware是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰,保持業(yè)務(wù)的連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
