在当今网络安全格局不断变化和新威胁层出不穷的世界中,安全应该是所有企业的头等大事。业务应用程序越来越受到网络犯罪分子的垂涎,它们抵御攻击的能力是运营的重要组成部分。正如网络犯罪分子种类繁多、网络攻击种类繁多一样,企业可以选择多种方式来增强应用程序的安全性。为了解应用程序安全状况,Cyber??securityInsiders与HelpSystems的子公司BeyondSecurity合作,深入研究网络安全趋势。该研究报告基于对网络安全专业人士的全面调查,对当前趋势、挑战和应用程序安全解决方案进行了深入分析。为了创建一个平衡的代表性样本,我们选择了因职位、部门、公司规模、行业和资源而异的受访者。主要问题和挑战44%的受访者表示,企业最大的应用程序安全问题之一是数据保护。此外,42%的受访者担心跟上不断增加的漏洞数量,38%的人担心威胁和数据泄露检测,37%的人担心云应用程序的安全保护。网络安全专业人员的其他优先事项包括保护他们开发的应用程序(37%)和抵御恶意软件(29%)。当被问及哪种类型的应用程序对企业构成最高安全风险时,42%的受访者提到了面向客户的Web应用程序,40%的受访者提到了遗留应用程序。移动应用程序(30%)、桌面应用程序(28%)和面向内部的Web应用程序(26%)所占比例略低,但仍构成风险。该研究还致力于调查哪些潜在问题可能会阻止组织更好地防御以应用程序为目标的攻击。接受调查的组织将安全专业人员短缺(39%)、员工安全意识低下(35%)和预算不足(35%)列为巩固防御的主要障碍,其次是部门之间缺乏协作(29%)、管理支持和意识丧失(26%)。渗透测试业务应用程序中也会出现类似的问题。当被问及渗透测试的主要挑战是什么时,25%的人表示难以招募熟练的员工,16%的人表示测试尽可能多的应用程序成本太高,还有13%的人表示尽可能频繁地进行测试成本太高。此外,45%的受访者表示,快速开发和发布新软件的压力导致应用程序开发人员忽视安全编码实践。应用程序攻击:有多常见?有哪些形式?在接受调查的公司中,44%的公司经历过数据泄露,其中20%的公司仅在过去一年就经历过数据泄露。虽然24%的受访者没有经历过任何数据泄露,但大约32%的人不确定他们过去是否经历过应用程序泄露或入侵。至于过去12个月针对应用程序的安全攻击,31%的受访者表示曾遭受恶意软件攻击,23%曾遭受分布式拒绝服务(DDoS)攻击,21%曾遭受应用程序配置错误,20%的凭证被盗.虽然主要威胁几乎没有变化,但应用程序攻击的数量和风险正在上升。企业如何抵御攻击绝大多数接受调查的企业(91%)都有某种专门的应用程序安全程序。虽然一小部分受访组织(9%)完全依赖外包应用程序安全,但这些组织中有39%使用内部管理,36%结合使用内部和外包应用程序安全。这表明,在很大程度上,企业至少部分依赖其自身网络安全人员的技能和专业知识来保护应用程序。为了保护业务应用程序,可以在开发和发布期间的一个或多个点执行自动化测试。在自动化安全测试方面,54%的受访公司在软件发布生命周期中进行了某种形式的自动化测试。其中,48%在软件测试期间自动化安全测试,31%在监控期间自动化,29%在代码开发期间自动化,23%在产品发布期间自动化。一小部分还在操作审查(16%)和规划(15%)期间自动化安全测试。总体而言,调查结果表明,企业正在认真对待应用程序安全,并努力保护其应用程序免受攻击。好消息是,51%的受访者希望在未来12个月内增加他们的应用程序安全预算,而34%的受访者希望他们的预算保持不变。结论日益增长的应用程序攻击威胁使企业面临恶意软件、中断、盗窃和错误配置攻击的风险。企业必须投入时间、精力和金钱来保障自身的应用安全,绝大部分受访企业都将应用安全作为重中之重。尽管企业了解应用安全的重要性,也愿意为保护应用安全付出努力,但企业在实践应用安全保护方面仍存在一些障碍。最大的障碍是人员短缺、员工缺乏安全意识以及没有合适的预算来保护应用程序。但是,超过一半的受访者预计来年应用程序安全预算会增加。
