日前,全球領(lǐng)先的網(wǎng)絡(luò )安全和應用交付解決方案提供商Radware公司發(fā)布了2020-2021年Web應用安全現狀報告。
報告顯示,全球企業(yè)都難以跨多個(gè)平臺維持一致的應用安全性,而且隨著(zhù)新架構的出現以及應用編程接口(API)的采用,他們也失去了可見(jiàn)性。造成這些挑戰的一個(gè)主要因素就是,疫情大流行帶來(lái)了遠程辦公和客戶(hù)參與模式,企業(yè)需要迅速調整來(lái)予以適應,這就讓決策者幾乎沒(méi)有時(shí)間來(lái)進(jìn)行充分的安全規劃。
Osterman研究公司的Michael Osterman表示:“隨著(zhù)2020年快速向云遷移,我們很意外地發(fā)現,企業(yè)中普遍存在不安全的移動(dòng)應用、云應用以及API。”
Radware首席運營(yíng)官Gabi Malka表示:“70%以上的受訪(fǎng)者表示,他們的生產(chǎn)應用已經(jīng)遠離數據中心,確保這些數據和應用的安全和完整性就變得更具挑戰性,尤其是在多云環(huán)境中。向云端的遷移,加上對API的日漸依賴(lài)以及不安全的移動(dòng)應用,成為了犯罪分子的福音,讓他們可以在網(wǎng)絡(luò )安全方面領(lǐng)先一步。已遷移到公有云并有數個(gè)應用暴露給API的受訪(fǎng)者似乎可以明白其中的風(fēng)險,而尚未遷移到云端也未采用API的受訪(fǎng)者還在沾沾自喜,似乎并未察覺(jué)到已危機四伏。”
以下為報告的主要發(fā)現:
- API將是下一個(gè)重大威脅 企業(yè)將越來(lái)越依賴(lài)API形式的Web應用。API可以處理各種各樣的敏感數據類(lèi)型,如用戶(hù)憑證、支付信息、社會(huì )安全碼等。API濫用預計將成為最常見(jiàn)的攻擊矢量。因此,API安全將是企業(yè)在2021年最亟待修復的重要漏洞。
將近40%的受訪(fǎng)企業(yè)稱(chēng),一半以上的應用會(huì )通過(guò)API向互聯(lián)網(wǎng)或第三方服務(wù)公開(kāi)。約有55%的受訪(fǎng)企業(yè)每月至少都會(huì )遭受一次針對其API的DoS攻擊,49%的受訪(fǎng)企業(yè)每月至少會(huì )遭受一次某種形式的注入攻擊,42%的受訪(fǎng)企業(yè)每月至少會(huì )遭受一次元件/屬性篡改。
- 企業(yè)對機器人程序流量毫無(wú)準備 由于很多企業(yè)還沒(méi)有做好準確管理機器人程序流量的準備,因此機器人程序管理也是一個(gè)重要問(wèn)題。盡管Web應用防火墻可以提供重要的防御功能來(lái)檢測并防止針對API的攻擊,但機器人程序管理工具則可以提供應對復雜機器人程序攻擊的強大防御措施。這些工具讓安全團隊可以更好地處理各種威脅和攻擊。
報告顯示,只有24%的企業(yè)部署了專(zhuān)門(mén)的解決方案來(lái)區分真實(shí)用戶(hù)和機器人。此外,只有39%的受訪(fǎng)企業(yè)十分自信可以應對復雜的惡意機器人程序。
- 移動(dòng)應用更不安全 2020年,多數信息工作者轉為居家辦公,大多數人也都使用移動(dòng)應用來(lái)進(jìn)行娛樂(lè )、社交、教育和購物,因此,移動(dòng)應用發(fā)揮了重要作用。然而,移動(dòng)應用開(kāi)發(fā)卻極為不安全。這是因為,移動(dòng)應用通常是由第三方開(kāi)發(fā)的。
此次研究發(fā)現,只有36%的移動(dòng)應用完全集成了安全,大部分的移動(dòng)應用安全系數很低或根本不安全(22%)。因此,在移動(dòng)應用安全性得到足夠重視之前,我們還會(huì )看到更多更嚴重的利用移動(dòng)通道發(fā)起的攻擊事件。這反過(guò)來(lái)可能會(huì )給企業(yè)帶來(lái)更大壓力,他們必須確保移動(dòng)應用的安全,并確保消費者數據不落入黑客之手。
- 安全人員不是主要的決策者 盡管報告中列出了各種威脅,但安全性并不是應用開(kāi)發(fā)實(shí)踐中首先要考慮的問(wèn)題。在約90%的受訪(fǎng)企業(yè)中,安全人員并不是應用開(kāi)發(fā)架構或預算的主要影響因素。約有43%的受訪(fǎng)企業(yè)表示,安全不應該中斷端到端的發(fā)布周期自動(dòng)化。這就造成了這樣一種情況:負責安全的人幾乎無(wú)法控制應用如何開(kāi)發(fā)。
- DDoS攻擊不會(huì )消亡 最常見(jiàn)的機器人程序攻擊是不同形式的拒絕服務(wù)攻擊。約有86%的企業(yè)表示遭受了此類(lèi)攻擊,三分之一的企業(yè)稱(chēng)每周都會(huì )遭受攻擊,5%的企業(yè)每天都會(huì )遭受攻擊。針對應用層的拒絕服務(wù)攻擊的常見(jiàn)形式就是HTTP/S洪水。約有60%的每月至少都會(huì )遭受一次HTTP洪水攻擊。
方法
Radware委托Osterman研究公司對員工數1000名以上的企業(yè)中的205名決策者和有影響力的人進(jìn)行了調查。受訪(fǎng)企業(yè)員工人數平均為2200人。受訪(fǎng)者的主要工作職責包括網(wǎng)絡(luò )安全、DevOps/DevSecOps、網(wǎng)絡(luò )運維及相關(guān)職位、應用開(kāi)發(fā)、應用安全以及其他各種IT和相關(guān)職位。多數受調查人員都是高層管理人員或管理人員,包括行政職位。
查看報告全文,請訪(fǎng)問(wèn):https://www.radware.com/resources/complete-protection/
關(guān)于Radware
Radware是為傳統數據中心、云數據中心和虛擬數據中心提供網(wǎng)絡(luò )安全和應用交付解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎架構、應用及企業(yè)IT防護服務(wù),確保企業(yè)的數字體驗。Radware解決方案成功幫助了全球12,500多家企業(yè)和運營(yíng)商客戶(hù)快速應對市場(chǎng)挑戰,保持業(yè)務(wù)連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。欲知詳情,請訪(fǎng)問(wèn):www.radware.com.cn
