过去一年,各种数据泄露事件(英航、UnderArmour、PaneraBread)频频见诸报端,GDPR的出台,以及最新应用开发架构和框架的出现。因此,Radware在最新的报告中公布了应用安全的现状。这项针对高管和IT专业人员的全球调查提供了对威胁、担忧和应用程序安全策略的见解。高管们对Radware的2018年Web应用程序安全报告看法不一,但信心十足。您知道公司如何发现数据泄露吗?跨国公司密切关注他们收集和共享的数据类型。然而,几乎所有其他企业(46%)都表示他们遭受了数据泄露。平均而言,企业每年经历16.5起数据泄露事件。大多数企业(85%)需要数小时到数天才能发现数据泄露。根据Radware研究受访者的说法,数据泄露是最难检测和缓解的攻击。Radware研究表明,如果企业发现异常检测工具/SIEM、Darknet监控服务、信息公开泄露、索要赎金等异常操作,则意味着数据已经泄露。受访者表示,他们对广泛的应用程序安全挑战的共同趋势充满信心,这些挑战包括数据泄露、机器人管理、DDoS缓解、API安全和DevSecOps。所有地区90%的受访者表示,他们的安全模型可有效缓解Web应用程序攻击。针对应用程序的攻击记录居高不下,共享的敏感数据比以往任何时候都多。那么,高管和IT专业人员如何才能对他们的应用程序安全性充满信心呢?当前的形势和保护策略不一致为了更全面地了解情况,Radware研究了当前的威胁形势和企业目前采用的保护策略。立即有六个相互矛盾的结果。(1)90%的企业遭受过针对应用的攻击;(2)三分之一的企业与第三方共享敏感数据;(3)33%的企业允许第三方通过API创建/修改/删除数据;(4)67%的企业认为黑客可以侵入企业网络;(5)89%的企业将网页抓取视为IP知识产权的主要威胁;(6)83%的企业会采用赏金计划来寻找遗漏的漏洞。许多对应用程序服务的威胁没有得到很好的解决,对传统的安全方法提出了挑战。同时,采用依赖于与多种服务广泛集成的新兴框架和架构会增加复杂性和攻击范围。当前威胁状况,黑客继续注入现有技术去年11月,OWASP发布了一份新的十大Web应用程序漏洞列表。黑客继续使用注入、XSS和众所周知的技术(例如CSRF、RFI/LFI和会话劫持)来利用这些漏洞,以获得对敏感信息的未授权访问。随着攻击源自可信来源(例如CDN、加密流量或系统API以及集成服务),防御变得越来越复杂。机器人的行为与真实用户相似,可以绕过CAPTCHA和基于IP的检测措施等挑战机制,使保护和优化用户体验变得更加困难。Web应用程序安全解决方案必须更加智能,并且能够解决范围广泛的漏洞利用场景。除了保护应用程序免受这些常见漏洞的侵害外,还需要保护API、减轻DoS攻击、管理机器人流量以及区分合法机器人(例如搜索引擎)与不良机器人、网络爬虫等。●DDoS攻击63%的企业遭受过针对应用程序的拒绝服务攻击。DoS攻击通过耗尽应用程序资源使应用程序无法运行。缓冲区溢出和HTTP泛洪是最常见的DoS攻击类型,在亚太地区更为常见。36%的企业认为HTTP/L7层DDoS是最难缓解的攻击。一半的企业使用基于速率的方法(例如:限制来自某个来源的请求数量或简单地购买基于速率的DDoS防护解决方案),一旦超过阈值,这些方法就会失效,真实用户将无法连接。●API攻击API简化了应用服务的架构和交付,使数字交互成为可能。不幸的是,API也增加了更多的风险和漏洞,成为黑客进入网络的后门。通过API,可以HTTP方式交换数据,双方可以接收、处理和共享信息。理论上,第三方可以在应用程序内插入、修改、删除和检索内容。这也可以作为攻击的切入点:62%的受访者不对通过API传递的数据进行加密,70%不需要身份验证,33%允许第三方执行操作(GET/POST/PUT/DELETE)。针对API的攻击:39%为非法访问,32%为暴力破解,29%为不规则JSON/XML表达式,38%为协议攻击,31%为拒绝服务,29%为注入攻击。●机器人攻击良性和恶意机器人流量都在增长。企业被迫增加网络容量,需要能够准确区分敌友,以维护客户体验和安全性。惊人的98%的企业声称他们可以通过这种方式实现差异化。然而,98%的企业也将网络抓取视为主要威胁。87%的企业在过去一年中遭到攻击,尽管采用了各种方法来克服这一挑战——验证码、会话终止、基于IP的检测,甚至购买专门的反机器人解决方案影响。网页抓取有六大作用:收集价格信息、复制网站内容、窃取知识产权、排队库存/被机器人控制、买断库存。声誉受损、客户赔偿、法律诉讼(在EMEA比较常见)、客户流失(在APAC比较常见)、股价下跌(在AMER比较常见)、高管失业等等,攻击成功后很快就会出现恢复企业声誉的过程很漫长,而且不一定有效。大约一半的人承认经历过这些影响。保护新兴应用程序开发框架应用程序数量的快速增长及其在多个环境中的分布要求能够在需要修改应用程序时对其进行调整。在所有环境中高效部署和维护相同的安全策略几乎是不可能的。Radware研究表明,大约60%的应用程序每周都会发生变化。安全团队如何与时俱进?虽然93%的企业都采用了Web应用防火墙(WAF),但只有30%的企业采用了主动和被动安全模型相结合的WAF,可以实现有效的应用保护。DevOps采用的技术包括63%的DevOps和自动化工具、48%的容器(60%使用编排)、44%的无服务器/FaaS、37%的微服务器。半数使用微服务的受访者认为数据保护是最大的挑战,其次是可用性保证、策略实施、身份验证和可见性。企业有信心吗?是的。这是一种虚假的安全感吗?是的。攻击在不断演变,安全措施并非万无一失。拥有适当的应用程序安全工具和流程可能会给企业带来一种控制感,但它们迟早会被破坏或绕过。公司面临的另一个问题是高管是否充分了解日常事件。他们当然希望内部团队负责应用程序安全并解决问题,但他们对企业应用程序安全策略有效性的看法与实际暴露风险之间似乎存在脱节。
