SecurityCompass发布了一份报告,调查了大中型企业威胁建模的现状,特别关注企业扩展威胁建模以构建和部署应用程序的挑战.威胁建模挑战该研究发现,最紧迫的问题是企业构建应用程序的威胁建模的优先级越来越高,这与许多工作越来越自动化的信念不谋而合。传统的威胁建模实践历来进展缓慢,阻碍了组织将应用程序快速推向市场的目标。此外,超过一半的受访者表示,他们在尝试将这一基本流程集成到现有技术中时遇到了问题,只有不到一半的受访公司为关键的网络安全威胁做好了充分准备。威胁建模显然需要更大的可扩展性和自动化,以平衡快速软件开发与安全软件开发。威胁建模的现状只有25%的调查参与者表示他们在软件开发的早期需求收集和设计阶段进行威胁建模,然后再进行应用程序开发。不到10%的受访组织表示,他们对90%以上的应用程序进行了威胁建模。最常见的是,组织会测试50-74%的应用程序。缺乏自动化超过60%的组织认为其威胁建模的所有方面都可以完全自动化,但实际上只有28%的组织达到了该阈值。超过一半的企业在自动化威胁建模活动并将其与其他技术集成方面面临挑战,41%的受访者表示这项工作需要很长时间。COVID-19和供应链漏洞的影响由于COVID-19,超过80%的企业不得不对其网络安全方法进行渐进式更改。超过84%的受访企业表示,他们的供应链可能特别脆弱,并因此改变了网络安全政策。然而,只有31%的组织对他们开发的与其供应链相关的应用程序进行了威胁建模。SecurityCompass首席执行官RohitSethi表示:“软件几乎用于我们日常生活的方方面面,因此组织必须拥有必要的资源,以便及时对其开发和部署的应用程序进行威胁建模。威胁建模确保漏洞在成为问题之前被识别和修复。”【本文为专栏作者“安全牛”原创文章,转载请通过安全牛获得授权(微信公众号id:gooann-sectv)】点击在这里可以看到作者的更多好文章
