[.comExpressTranslation]最近,数据泄露似乎突然变得更加普遍,并在全球范围内产生广泛影响。在澳大利亚,澳大利亚信息专员办公室(OAIC)透露,单次事件就有超过1000万人的信息被泄露。在新加坡,数千名红十字会献血者的个人资料被泄露。在美国,另一起大规模云数据泄露事件暴露了8000万家庭的个人数据。这些只是最近一系列攻击的几个例子,这些攻击表明黑客是如何瞄准高价值目标的。为了更好地了解最新的安全威胁和模式,Verizon最近发布了《2019年数据泄露调查报告》(DBIR),这是一份基于来自全球86个国家的41,686起已确认安全事件和2013年数据泄露的实际数据的报告。同样,研究表明Web应用程序攻击仍然是最常见的数据泄露攻击媒介。在今年超过一半的与Web应用程序攻击相关的违规行为中,攻击者使用了窃取的凭据(登录信息)。该报告还显示,金融服务、医疗保健、教育服务、零售和制造业是最容易受到Web应用程序漏洞攻击的行业。所有这些由Verizon年度报告整理的数据提醒我们,所有行业的公司都应该重新评估其应用程序安全实践的状态。虽然GlobalMarketInsights的一份新报告表明应用程序安全市场有望快速增长,但许多公司需要帮助来克服阻碍采用的内部挑战。为提供帮助,我们列出了一些阻碍应用程序安全计划取得进展的最常见绊脚石:评论)的规模太慢,无法满足公司的所有要求。?脱节的团队:由于开发团队缺乏安全知识以及修复漏洞的开发专业知识,安全团队和开发团队常常不同步。?并非为安全而构建的技术:有关体系结构、开发和框架的决策通常没有考虑到安全性,因此很难在事后添加安全机制。?误报:组织在寻找漏洞时经常会遇到很高的误报率和漏报率,导致解决这些漏洞的支持成本很高。?成本:保护越来越多的软件应用程序的安全已成为许多组织的成本过高。缺乏对漏洞的洞察力使得组织几乎不可能确定真实成本,这在管理多个安全提供商时也会变得复杂。由于上述任何障碍,组织通常会放弃安全应用程序开发,并且未能采取措施管理分配给解决当今应用程序安全风险的人员、预算和时间。但是,如果没有适当的安全措施和技术,组织可能会遇到许多问题,包括:发布延迟和风险增加:应用程序发布延迟通常伴随着安全漏洞被发现较晚,或者发布包含已知风险,使客户有一定风险。?士气低落:由于软件发布周期的延迟,安全团队可能被视为开发人员发布计划的障碍。?声誉受损:在安全漏洞期间,可能会产生与品牌、股东价值和客户信心受损相关的费用和法律费用。结合自动化、人工智能技术和人类智能的应用程序安全新方法可以带来更具成本效益和准确的应用程序安全测试。贯穿软件生命周期(SLC)的集成和自动化软件安全还意味着可以更早地发现和修复更多漏洞,从而为所有相关人员节省时间、金钱和资源。这样做可以降低软件安全投资的风险,并以有条不紊、可扩展的方式降低重大漏洞的可能性。除其他外,经过验证的漏洞可以消除误报,从而减少资源。对于开发部门,增加教育可以为未来的项目带来更安全的编程实践。结论是,当今的企业界需要更快、更准确地识别和修复安全漏洞,以提高安全支出的投资回报率。从长远来看,今天实施正确的技术将提高客户的信誉和信任。Web应用安全技术已经深入人心,企业界也需要用到它。原标题:保护Web应用程序的主要障碍,作者:JosephFeiman
