過(guò)去一年���,各類(lèi)數(shù)據(jù)泄露事件頻繁見(jiàn)諸報(bào)端�����、GDPR的引入以及最新應(yīng)用開(kāi)發(fā)架構(gòu)和框架的出現(xiàn)�,都為網(wǎng)絡(luò)安全問(wèn)題提出了新的挑戰(zhàn)。
因此���,Radware在最新的報(bào)告中公布了應(yīng)用安全現(xiàn)狀�。
這項(xiàng)針對(duì)高管和IT專(zhuān)業(yè)人士的全球調(diào)查提出了有關(guān)威脅�����、顧慮和應(yīng)用安全策略的深刻見(jiàn)解����。
針對(duì)Radware 2018年Web應(yīng)用安全報(bào)告����,高管們喜憂參半���,但卻有很高的信心�����。
企業(yè)如何發(fā)現(xiàn)數(shù)據(jù)泄露��,你知道嗎?跨國(guó)企業(yè)會(huì)密切關(guān)注他們采集并共享的數(shù)據(jù)類(lèi)型�。
然而�����,幾乎所有其他企業(yè)(46%)都表示���,他們?cè)馐芰藬?shù)據(jù)泄露�����。
企業(yè)平均每年會(huì)遭受16.5次數(shù)據(jù)泄露��。
多數(shù)企業(yè)(85%)需要幾個(gè)小時(shí)到幾天時(shí)間才能發(fā)現(xiàn)數(shù)據(jù)泄露�����。
在Radware研究受訪者看來(lái)���,數(shù)據(jù)泄露是最難檢測(cè)和緩解的攻擊。
Radware研究表明����,企業(yè)如果發(fā)現(xiàn)了異常檢測(cè)工具/SIEM、Darknet監(jiān)控服務(wù)�����、信息被公開(kāi)泄露�、要求贖金等非正常操作,即表明數(shù)據(jù)被泄露���。
接受調(diào)查的人表示����,他們對(duì)包括數(shù)據(jù)泄露�、機(jī)器人程序管理、DDoS緩解�、API安全和DevSecOps等在內(nèi)的各類(lèi)應(yīng)用安全挑戰(zhàn)的常見(jiàn)趨勢(shì)很有信心�。
90%的各地區(qū)受訪者表示��,他們的安全模型能夠有效緩解Web應(yīng)用攻擊�����。
針對(duì)應(yīng)用的攻擊保持著很高記錄����,敏感數(shù)據(jù)的共享也比以往任何時(shí)候更多。
因此����,高管和IT專(zhuān)業(yè)人士如何能對(duì)他們的應(yīng)用安全有如此大的信心呢?當(dāng)前形勢(shì)與防護(hù)策略相互矛盾為了了解得更全面,Radware研究了當(dāng)前的威脅形勢(shì)以及企業(yè)目前采用的防護(hù)策略���。
立即得出了一些互相矛盾的六個(gè)結(jié)果�����。
(1) 90%的企業(yè)遭受了針對(duì)應(yīng)用的攻擊;
(2) 三分之一的企業(yè)與第三方共享敏感數(shù)據(jù);
(3) 33%的企業(yè)允許第三方通過(guò)API創(chuàng)建/修改/刪除數(shù)據(jù);
(4) 67%的企業(yè)認(rèn)為黑客可以侵入企業(yè)網(wǎng)絡(luò);
(5) 89%的企業(yè)將Web抓取作為針對(duì)IP知識(shí)產(chǎn)權(quán)的重大威脅;
(6) 83%的企業(yè)會(huì)采取獎(jiǎng)金計(jì)劃來(lái)查找遺漏的漏洞����。
針對(duì)應(yīng)用服務(wù)的許多威脅并沒(méi)有得到很好的解決,這為傳統(tǒng)安全方法帶來(lái)了挑戰(zhàn)����。
與此同時(shí),依賴與多個(gè)服務(wù)進(jìn)行大量集成的新興框架和架構(gòu)的采用增加了復(fù)雜性以及攻擊覆蓋范圍�。
當(dāng)前的威脅現(xiàn)狀,黑客持續(xù)注入故有技術(shù)去年11月�����,OWASP發(fā)布了新的十大Web應(yīng)用漏洞列表��。
黑客們繼續(xù)使用注入�����、XSS以及CSRF��、RFI/LFI和會(huì)話劫持等故有技術(shù)來(lái)利用這些漏洞���,獲取對(duì)敏感信息的未授權(quán)訪問(wèn)�。
由于攻擊均來(lái)自可信來(lái)源�,如CDN、加密流量或系統(tǒng)API以及整合的服務(wù)��,因此,防護(hù)措施也變得越來(lái)越復(fù)雜���。
機(jī)器人程序表現(xiàn)的像是真實(shí)用戶�,并且可以繞過(guò)CAPTCHA���、基于IP的檢測(cè)措施等質(zhì)詢機(jī)制��,使得保護(hù)并優(yōu)化用戶體驗(yàn)變得更加困難�。
Web應(yīng)用安全解決方案必須更加智能����,并且可以解決廣泛的漏洞利用場(chǎng)景。
除了保護(hù)應(yīng)用免受這些常見(jiàn)漏洞的攻擊�,還必須保護(hù)API,緩解DoS攻擊����,管理機(jī)器人程序流量,區(qū)分合法的機(jī)器人程序(如搜索引擎)和不良機(jī)器人程序����、Web抓取器等。
●DDoS攻擊63%的企業(yè)遭受了針對(duì)應(yīng)用的拒絕服務(wù)攻擊�。
DoS攻擊通過(guò)耗盡應(yīng)用資源讓?xiě)?yīng)用無(wú)法運(yùn)行��。
緩沖區(qū)溢出和HTTP洪水是最常見(jiàn)的DoS攻擊類(lèi)型�,這種攻擊類(lèi)型在亞太區(qū)更為常見(jiàn)���。
36%的企業(yè)認(rèn)為����,HTTP/L7層DDoS是最難緩解的攻擊����。
一半的企業(yè)采用基于速率的方法(如:限制來(lái)自某個(gè)來(lái)源的請(qǐng)求數(shù)量或簡(jiǎn)單地購(gòu)買(mǎi)基于速率的DDoS防護(hù)解決方案)�,一旦超過(guò)閾值,這些方法就會(huì)失效��,真實(shí)用戶就無(wú)法連接了����。
●API攻擊API簡(jiǎn)化了應(yīng)用服務(wù)的架構(gòu)和交付,使數(shù)字交互成為可能�。
遺憾的是,API也增加了更多風(fēng)險(xiǎn)和漏洞����,成為了黑客入侵網(wǎng)絡(luò)的后門(mén)。
通過(guò)API,數(shù)據(jù)可以在HTTP中交換����,雙方可以接收、處理并共享信息�。
理論上,第三方能夠在應(yīng)用中插入�、修改、刪除并檢索內(nèi)容���。
這也可以作為攻擊的入口:62%的受訪者不會(huì)加密通過(guò)API的數(shù)據(jù)���,70%的受訪者不要求身份驗(yàn)證,33%的受訪者允許第三方執(zhí)行操作(GET/POST/PUT/DELETE)����。
針對(duì)API的攻擊:39%為非法訪問(wèn)、32%為暴力破解攻擊����、29%為不規(guī)則JSON/XML表達(dá)式、38%為協(xié)議攻擊��、31%為拒絕服務(wù)�、29%為注入攻擊�。
●機(jī)器人程序攻擊良性機(jī)器人程序和不良機(jī)器人程序的流量都在增長(zhǎng)����。
企業(yè)被迫要增加網(wǎng)絡(luò)容量,并且需要能夠精確地區(qū)分?jǐn)秤?���,從而維持客戶體驗(yàn)和安全。
令人驚訝的是�,98%的企業(yè)聲稱(chēng)他們可以這樣區(qū)分。
然而�,同樣有98%的企業(yè)將Web抓取看做重大威脅。
過(guò)去一年�,盡管企業(yè)采用了各種方法來(lái)克服這一挑戰(zhàn)——CAPTCHA��、會(huì)話終止��、基于IP的檢測(cè)��,甚至是購(gòu)買(mǎi)專(zhuān)門(mén)的防機(jī)器人程序解決方案�����,但仍有87%的企業(yè)受到了攻擊的影響����。
Web抓取有收集價(jià)格信息����、復(fù)制網(wǎng)站內(nèi)容�����、竊取知識(shí)產(chǎn)權(quán)�����、庫(kù)存排隊(duì)/被機(jī)器人程序控制��、買(mǎi)斷庫(kù)存等六點(diǎn)影響���。
在攻擊成功之后�,聲譽(yù)受損��、客戶賠償�、法律行動(dòng)(在EMEA地區(qū)更常見(jiàn))、客戶流失(在亞太區(qū)更常見(jiàn))��、股價(jià)下降(在AMER地區(qū)更常見(jiàn))��、高管失業(yè)等負(fù)面影響很快就會(huì)出現(xiàn),恢復(fù)企業(yè)聲譽(yù)的過(guò)程很長(zhǎng)��,也不一定奏效���。
約有一半的人承認(rèn)曾遭遇過(guò)這種影響�����。
保護(hù)新興應(yīng)用開(kāi)發(fā)框架應(yīng)用數(shù)量的快速增長(zhǎng)及其跨多個(gè)環(huán)境的分布要求在需要修改應(yīng)用時(shí)能夠?qū)ζ溥M(jìn)行調(diào)整��。
在所有環(huán)境中高效部署并維護(hù)相同的安全策略幾乎是不可能的��。
Radware研究表明�����,約有60%的應(yīng)用每周都會(huì)發(fā)生變化。
安全團(tuán)隊(duì)如何才能與時(shí)俱進(jìn)?盡管93%的企業(yè)采用了Web應(yīng)用防火墻(WAF)���,但只有30%的企業(yè)采用了整合了主動(dòng)和被動(dòng)安全模型的WAF����,可以實(shí)現(xiàn)有效的應(yīng)用防護(hù)�。
DevOps采用的技術(shù)包括63%DevOps和自動(dòng)工具���、48%容器(60%采用了編排)、44%無(wú)服務(wù)器/FaaS���、37%微服務(wù)器��。
在使用微服務(wù)的受訪者中����,一半的人認(rèn)為數(shù)據(jù)防護(hù)是最大挑戰(zhàn)����,其次是可用性保證、策略執(zhí)行�、身份驗(yàn)證和可見(jiàn)性。
企業(yè)是否信心十足?
是的���。
這是一種錯(cuò)誤的安全感嗎?是的��。
攻擊在不斷演變����,安全措施也并非萬(wàn)無(wú)一失。
擁有恰當(dāng)?shù)膽?yīng)用安全工具和流程可能會(huì)為企業(yè)提供一種掌控能力�,但他們遲早會(huì)被破壞或繞過(guò)。
企業(yè)面臨的另一個(gè)問(wèn)題是�,高管們是否已經(jīng)完全意識(shí)到了日常事件。
這是理所當(dāng)然的����,他們希望內(nèi)部團(tuán)隊(duì)負(fù)責(zé)應(yīng)用安全并解決問(wèn)題,但他們對(duì)企業(yè)應(yīng)用安全策略的有效性和實(shí)際的暴露風(fēng)險(xiǎn)之間的感知似乎存在脫節(jié)����。
