计世网

Radware发布2020-2021年Web应用安全现状报告
来源:计算机世界
2021-01-27
2020年云迁移加快后,应用将面临更多网络攻击风险。

 

  日前,全球网络安全和应用交付解决方案提供商Radware公司发布了2020-2021年Web应用安全现状报告。

  报告显示,全球企业都难以跨多个平台维持一致的应用安全性,而且随着新架构的出现以及应用编程接口(API)的采用,他们也失去了可见性。造成这些挑战的一个主要因素就是,疫情大流行带来了远程办公和客户参与模式,企业需要迅速调整来予以适应,这就让决策者几乎没有时间来进行充分的安全规划。

  Osterman研究公司的Michael Osterman表示:"随着2020年快速向云迁移,我们很意外地发现,企业中普遍存在不安全的移动应用、云应用以及API。"

  Radware首席运营官Gabi Malka表示:"70%以上的受访者表示,他们的生产应用已经远离数据中心,确保这些数据和应用的安全和完整性就变得更具挑战性,尤其是在多云环境中。向云端的迁移,加上对API的日渐依赖以及不安全的移动应用,成为了犯罪分子的福音,让他们可以在网络安全方面领先一步。已迁移到公有云并有数个应用暴露给API的受访者似乎可以明白其中的风险,而尚未迁移到云端也未采用API的受访者还在沾沾自喜,似乎并未察觉到已危机四伏。"

  以下为报告的主要发现:

  API将是下一个重大威胁

  企业将越来越依赖API形式的Web应用。API可以处理各种各样的敏感数据类型,如用户凭证、支付信息、社会安全码等。API滥用预计将成为最常见的攻击矢量。因此,API安全将是企业在2021年最亟待修复的重要漏洞。

  将近40%的受访企业称,一半以上的应用会通过API向互联网或第三方服务公开。约有55%的受访企业每月至少都会遭受一次针对其API的DoS攻击,49%的受访企业每月至少会遭受一次某种形式的注入攻击,42%的受访企业每月至少会遭受一次元件/属性篡改。

  企业对机器人程序流量毫无准备

  由于很多企业还没有做好准确管理机器人程序流量的准备,因此机器人程序管理也是一个重要问题。尽管Web应用防火墙可以提供重要的防御功能来检测并防止针对API的攻击,但机器人程序管理工具则可以提供应对复杂机器人程序攻击的强大防御措施。这些工具让安全团队可以更好地处理各种威胁和攻击。

  报告显示,只有24%的企业部署了专门的解决方案来区分真实用户和机器人。此外,只有39%的受访企业十分自信可以应对复杂的恶意机器人程序。

  移动应用更不安全

  2020年,多数信息工作者转为居家办公,大多数人也都使用移动应用来进行娱乐、社交、教育和购物,因此,移动应用发挥了重要作用。然而,移动应用开发却极为不安全。这是因为,移动应用通常是由第三方开发的。

  此次研究发现,只有36%的移动应用完全集成了安全,大部分的移动应用安全系数很低或根本不安全(22%)。因此,在移动应用安全性得到足够重视之前,我们还会看到更多更严重的利用移动通道发起的攻击事件。这反过来可能会给企业带来更大压力,他们必须确保移动应用的安全,并确保消费者数据不落入黑客之手。

  安全人员不是主要的决策者

  尽管报告中列出了各种威胁,但安全性并不是应用开发实践中首先要考虑的问题。在约90%的受访企业中,安全人员并不是应用开发架构或预算的主要影响因素。约有43%的受访企业表示,安全不应该中断端到端的发布周期自动化。这就造成了这样一种情况:负责安全的人几乎无法控制应用如何开发。

  DDoS攻击不会消亡

  最常见的机器人程序攻击是不同形式的拒绝服务攻击。约有86%的企业表示遭受了此类攻击,三分之一的企业称每周都会遭受攻击,5%的企业每天都会遭受攻击。针对应用层的拒绝服务攻击的常见形式就是HTTP/S洪水。约有60%的每月至少都会遭受一次HTTP洪水攻击。

  方法

  Radware委托Osterman研究公司对员工数1000名以上的企业中的205名决策者和有影响力的人进行了调查。受访企业员工人数平均为2200人。受访者的主要工作职责包括网络安全、DevOps/DevSecOps、网络运维及相关职位、应用开发、应用安全以及其他各种IT和相关职位。多数受调查人员都是高层管理人员或管理人员,包括行政职位。

责任编辑:刘沙