過(guò)去一年,各類(lèi)數據泄露事件(英國航空公司、Under Armor、Panera Bread)頻繁見(jiàn)諸報端、GDPR的引入以及最新應用開(kāi)發(fā)架構和框架的出現,因此,Radware在最新的報告中公布了應用安全現狀。這項針對高管和IT專(zhuān)業(yè)人士的全球調查提出了有關(guān)威脅、顧慮和應用安全策略的深刻見(jiàn)解。
接受調查的人表示,他們對包括數據泄露、機器人程序管理、DDoS緩解、API安全和DevSecOps等在內的各類(lèi)應用安全挑戰的常見(jiàn)趨勢很有信心。90%的各地區受訪(fǎng)者表示,他們的安全模型能夠有效緩解Web應用攻擊。
針對應用的攻擊保持著(zhù)很高記錄,敏感數據的共享也比以往任何時(shí)候更多。因此,高管和IT專(zhuān)業(yè)人士如何能對他們的應用安全有如此大的信心呢?
為了了解得更全面,Radware研究了當前的威脅形勢以及企業(yè)目前采用的防護策略。立即得出了一些互相矛盾的結果:
- 90%的企業(yè)遭受了針對應用的攻擊
- 三分之一的企業(yè)與第三方共享敏感數據
- 33%的企業(yè)允許第三方通過(guò)API創(chuàng )建/修改/刪除數據
- 67%的企業(yè)認為黑客可以侵入企業(yè)網(wǎng)絡(luò )
- 89%的企業(yè)將Web抓取作為針對IP知識產(chǎn)權的重大威脅
- 83%的企業(yè)會(huì )采取獎金計劃來(lái)查找遺漏的漏洞
針對應用服務(wù)的許多威脅并沒(méi)有得到很好的解決,這為傳統安全方法帶來(lái)了挑戰。與此同時(shí),依賴(lài)與多個(gè)服務(wù)進(jìn)行大量集成的新興框架和架構的采用增加了復雜性以及攻擊覆蓋范圍。
當前的威脅現狀
去年11月,OWASP發(fā)布了新的十大Web應用漏洞列表。黑客們繼續使用注入、XSS以及CSRF、RFI/LFI和會(huì )話(huà)劫持等故有技術(shù)來(lái)利用這些漏洞,獲取對敏感信息的未授權訪(fǎng)問(wèn)。由于攻擊均來(lái)自可信來(lái)源,如CDN、加密流量或系統API以及整合的服務(wù),因此,防護措施也變得越來(lái)越復雜。機器人程序表現的像是真實(shí)用戶(hù),并且可以繞過(guò)CAPTCHA、基于IP的檢測措施等質(zhì)詢(xún)機制,使得保護并優(yōu)化用戶(hù)體驗變得更加困難。
Web應用安全解決方案必須更加智能,并且可以解決廣泛的漏洞利用場(chǎng)景。除了保護應用免受這些常見(jiàn)漏洞的攻擊,還必須保護API,緩解DoS攻擊,管理機器人程序流量,區分合法的機器人程序(如搜索引擎)和不良機器人程序、Web抓取器等。
DDoS攻擊
63%的企業(yè)遭受了針對應用的拒絕服務(wù)攻擊。DoS攻擊通過(guò)耗盡應用資源讓?xiě)脽o(wú)法運行。緩沖區溢出和HTTP洪水是最常見(jiàn)的DoS攻擊類(lèi)型,這種攻擊類(lèi)型在亞太區更為常見(jiàn)。36%的企業(yè)認為,HTTP/L7層DDoS是最難緩解的攻擊。一半的企業(yè)采用基于速率的方法(如:限制來(lái)自某個(gè)來(lái)源的請求數量或簡(jiǎn)單地購買(mǎi)基于速率的DDoS防護解決方案),一旦超過(guò)閾值,這些方法就會(huì )失效,真實(shí)用戶(hù)就無(wú)法連接了。
API攻擊
API簡(jiǎn)化了應用服務(wù)的架構和交付,使數字交互成為可能。遺憾的是,API也增加了更多風(fēng)險和漏洞,成為了黑客入侵網(wǎng)絡(luò )的后門(mén)。通過(guò)API,數據可以在HTTP中交換,雙方可以接收、處理并共享信息。理論上,第三方能夠在應用中插入、修改、刪除并檢索內容。這也可以作為攻擊的入口:
- 62%的受訪(fǎng)者不會(huì )加密通過(guò)API的數據
- 70%的受訪(fǎng)者不要求身份驗證
- 33%的受訪(fǎng)者允許第三方執行操作(GET/POST/PUT/DELETE)
針對API的攻擊:
- 39%為非法訪(fǎng)問(wèn)
- 32%為暴力破解攻擊
- 29%為不規則JSON/XML表達式
- 38%為協(xié)議攻擊
- 31%為拒絕服務(wù)
- 29%為注入攻擊
機器人程序攻擊
良性機器人程序和不良機器人程序的流量都在增長(cháng)。企業(yè)被迫要增加網(wǎng)絡(luò )容量,并且需要能夠精確地區分敵友,從而維持客戶(hù)體驗和安全。令人驚訝的是,98%的企業(yè)聲稱(chēng)他們可以這樣區分。然而,同樣有98%的企業(yè)將Web抓取看做重大威脅。過(guò)去一年,盡管企業(yè)采用了各種方法來(lái)克服這一挑戰--CAPTCHA、會(huì )話(huà)終止、基于IP的檢測,甚至是購買(mǎi)專(zhuān)門(mén)的防機器人程序解決方案,但仍有87%的企業(yè)受到了攻擊的影響。
Web抓取的影響:
- 50%收集價(jià)格信息
- 43%復制網(wǎng)站內容
- 42%竊取知識產(chǎn)權
- 37%庫存排隊/被機器人程序控制
- 34%庫存持有
- 26%買(mǎi)斷庫存
數據泄露
跨國企業(yè)會(huì )密切關(guān)注他們采集并共享的數據類(lèi)型。然而,幾乎所有其他企業(yè)(46%)都表示,他們遭受了數據泄露。企業(yè)平均每年會(huì )遭受16.5次數據泄露。多數企業(yè)(85%)需要幾個(gè)小時(shí)到幾天時(shí)間才能發(fā)現數據泄露。在Radware研究受訪(fǎng)者看來(lái),數據泄露是最難檢測和緩解的攻擊。
企業(yè)如何發(fā)現數據泄露?
- 69%為異常檢測工具/SIEM
- 51%為Darknet監控服務(wù)
- 45%為信息被公開(kāi)泄露
- 27%為要求贖金
攻擊影響
攻擊成功之后,聲譽(yù)受損、客戶(hù)賠償、法律行動(dòng)(在EMEA地區更常見(jiàn))、客戶(hù)流失(在亞太區更常見(jiàn))、股價(jià)下降(在A(yíng)MER地區更常見(jiàn))、高管失業(yè)等負面影響很快就會(huì )出現,恢復企業(yè)聲譽(yù)的過(guò)程很長(cháng),也不一定奏效。約有一半的人承認曾遭遇過(guò)這種影響。
保護新興應用開(kāi)發(fā)框架
應用數量的快速增長(cháng)及其跨多個(gè)環(huán)境的分布要求在需要修改應用時(shí)能夠對其進(jìn)行調整。在所有環(huán)境中高效部署并維護相同的安全策略幾乎是不可能的。Radware研究表明,約有60%的應用每周都會(huì )發(fā)生變化。安全團隊如何才能與時(shí)俱進(jìn)?
盡管93%的企業(yè)采用了Web應用防火墻(WAF),但只有30%的企業(yè)采用了整合了主動(dòng)和被動(dòng)安全模型的WAF,可以實(shí)現有效的應用防護。
DevOps采用的技術(shù)
- 63%--DevOps和自動(dòng)工具
- 48%--容器(60%采用了編排)
- 44%--無(wú)服務(wù)器/FaaS
- 37%--微服務(wù)器
在使用微服務(wù)的受訪(fǎng)者中,一半的人認為數據防護是最大挑戰,其次是可用性保證、策略執行、身份驗證和可見(jiàn)性。
總結
企業(yè)是否信心十足?是的。這是一種錯誤的安全感嗎?是的。攻擊在不斷演變,安全措施也并非萬(wàn)無(wú)一失。擁有恰當的應用安全工具和流程可能會(huì )為企業(yè)提供一種掌控能力,但他們遲早會(huì )被破壞或繞過(guò)。企業(yè)面臨的另一個(gè)問(wèn)題是,高管們是否已經(jīng)完全意識到了日常事件。這是理所當然的,他們希望內部團隊負責應用安全并解決問(wèn)題,但他們對企業(yè)應用安全策略的有效性和實(shí)際的暴露風(fēng)險之間的感知似乎存在脫節。
關(guān)于Radware
Radware是為物理數據中心、云數據中心和軟件定義數據中心提供網(wǎng)絡(luò )安全和應用交付解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為全球企業(yè)提供了基礎架構、應用以及企業(yè)IT防護和可用性服務(wù),確保企業(yè)的數字體驗。Radware解決方案幫助全球12,500家以上的企業(yè)和運營(yíng)商客戶(hù)快速應對市場(chǎng)挑戰,保持業(yè)務(wù)連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
