根据上周刚刚发布的一份报告,随着企业应用程序数量的增加,维护业务应用程序的可访问性和安全性变得越来越困难。调查显示,信息安全专业人士希望业务方高管更积极地参与应用程序风险管理流程。对于其2014年网络安全状况报告,网络安全策略管理服务提供商AlgoSec在2014年RSA大会上采访了142名安全和网络运营专业人士。该调查旨在确定受访者在平衡关键业务应用程序的安全性和访问要求方面面临的挑战。调查发现,企业部署的应用数量正在急剧增加,60%的受访者表示他们的企业有超过50个应用需要管理,而20%的受访者需要负责超过500个应用。报告称,大量的应用程序给安全和网络专业人员带来了各种挑战,大约一半的受访者表示最大的挑战只是识别关键漏洞并确定其优先级。此外,21%的受访者指责负责这些应用程序的业务部门,表示他们不愿意或无法解决已发现的漏洞。另有24%的受访者表示,他们的组织根本不了解其业务面临的安全风险,导致他们无法及时修复漏洞。总体而言,超过90%的AlgoSec报告受访者认为,企业利益相关者应承担与应用程序相关的“自担风险”,而不是将此风险完全留给安全和网络团队。AlgoSec营销和战略副总裁NimmyReichenberg同意企业领导者最终负责应用风险管理,并将这些利益相关者与一家之主进行类比。房主可以聘请安全顾问来保护他们的房屋免受窃贼的侵害。例如,安全顾问的建议可能是建造围栏、安装警报系统,甚至挖护城河并在其中喂养鳄鱼。他说,房主必须权衡每项安全措施的成本和收益与入侵的实际风险。同样的道理,Reichenberg说,“安全从业者也应该分析这种风险并回答这些问题,你的风险承受能力是多少?你愿意投入多少来获得更好的保护?最终,所有企业应用程序开发人员都需要了解他们应用程序的风险级别并确定要部署的措施。”面对HeartbleedOpenSSL漏洞,强调此漏洞的严重性和及时修复的必要性非常重要,但安全专业人员也应该让决策者知道该漏洞是否存在于关键业务的Web服务器或服务器中那不会造成太大的影响。Reichenberg说,由于大型企业可能拥有数百台Web服务器,提供这些信息可以让企业领导者做出更明智的安全决策,并且在Heartbleed的案例中,还可以让安全团队优先考虑易受攻击的服务器。安装补丁。“这只是一个漏洞。如果你查看漏洞扫描器的结果,你会发现数十万个漏洞,几乎超出了你的处理能力,”Reichenberg说。“我们的想法是,拿一个业务应用程序说‘这个应用程序存在总体风险’,如果该风险超过业务的阈值,那么你需要采取一些行动。”
