计算机程序催生的互联网流量的大幅增长为IT安全带来了明显的盲点:79%的企业无法确定Web流量是来自人还是计算机程序。
日前,网络安全和应用交付解决方案提供商Radware公司最新发布了一项名为《Radware研究报告:数字连接领域的Web应用安全的报告》。该报告深入研究了企业如何保护Web应用的安全,确定了常见DevOps实践中显而易见的安全差距,强调了主要的攻击类型和载体,并确定了风险和需要关注的重要领域。
该研究集中在零售、医疗和金融服务等成为目标的可能性很高的行业,揭露了机器人程序催生的Web流量的激增以及对企业应用安全的影响。事实上,机器人程序产生的流量在所有互联网流量流中所占的比例超过一半(52%)。对某些企业而言,机器人程序流量占了总体流量的75%以上。由于三分之一(33%)的企业无法区分‘健康’机器人程序和‘不良’机器人程序,因此这一发现的意义就更加重大了。
报告还发现,将近一半(45%)的受访者在过去一年都遭受了数据泄露,68%的受访者不确定是否能够保护企业信息安全。更重要的是,企业还是会经常丢失被保护的敏感数据。事实上,52%的企业并没有检查进出API的流量,56%的企业无法在数据离开企业之后进行追踪。
任何可以采集欧洲公民信息的企业在不久的未来都必须要满足由通用数据保护条例(GDPR)强加的严格数据隐私法。这些条例将于2018年5月生效。然而,在截止日期前不到一年的时间,68%的企业仍然不确定他们是否能及时满足这些要求。
令人担忧的是,来自拥有数百万消费者敏感数据的企业的高管对自身安全没有信心。他们了解这些风险,但盲点仍会继续构成威胁。在企业掌握漏洞所在并采取防护措施之前,重大攻击和数据泄露事件仍将继续成为焦点。
——Radware安全解决方案副总裁Carl Herberger
Larry Ponemon博士表示:“该报告明确指出,持续交付应用服务的压力限制了DevOps在SDLC的各个阶段确保Web应用安全的能力。”
主要调查结果包括:
- 应用安全是事后诸葛亮
每个人都希望实现APP开发提供的持续交付模型所需的全面自动化和灵活性。目前,一半(49%)的受访者使用了持续交付的应用服务,另有21%的企业计划在未来12-24个月内采用。然而,持续交付会增加APP开发的安全挑战:62%的企业预计这会增加攻击范围,约有一半的企业表示,他们没有在持续交付过程中整合安全。
- 机器人程序正在逐渐占据市场
现在,机器人程序成为了在线零售的支柱。零售商们会将机器人程序用于价格汇总、电子优惠券、聊天机器人等。事实上,41%的零售商表示,75%以上的流量都来自于机器人程序,而40%的零售商却仍不能区分“健康”机器人程序和“不良”机器人程序。恶意机器人程序才是真正的风险所在。Web抓取攻击会通过窃取知识产权、降低价格、在不确定的情况下持有大量库存,以及通过未授权渠道加价买光库存进行商品转售,来打击零售商。但机器人程序并不是零售商独有的问题。在医疗行业,42%的流量来自于机器人程序,只有20%的IT安全主管确信可以识别出“不良”机器人程序。
- API安全经常会被忽略
约有60%的企业会通过API共享并使用个人身份信息、用户名/密码、付款细节、医疗记录等数据。然而,52%的企业并不会检查通过API传输的数据,51%的企业不会在整合之前执行任何安全审计或分析API漏洞。
- “假日风险”对零售商而言仍居高不下
假日期间,零售商会面临两种截然不同但破坏力极大的威胁:中断和数据泄露。假日期间零售商会赚取大量利润,在此期间出现的Web中断可能会带来灾难性的经济后果。然而,一半以上(53%)的企业不确信是否可以为应用服务提供100%的正常运行时间。黑色星期五和网络星期一等高需求时段也会给客户数据带来麻烦:30%的零售商表示无法在这些时段保护敏感数据的安全。
- 患者的医疗数据也面临风险
只有27%的医疗行业受访者有信心可以保护患者的医疗记录,即使将近80%的数据必须符合政府规定。修复系统对企业安全而言至关重要,他们能够缓解当前的领先威胁,但只有62%的医疗受访者对企业是否能够快速使用安全补丁并在不破坏运营的前提下进行更新信心不足或没有信心。一半以上(55%)的医疗机构表示,在数据离开公司网络之后,他们无法追踪与第三方共享的数据。医疗机构不太可能会监控可以窃取数据的Darknet,只有37%的医疗机构可以这样做,金融服务的比例为56%,零售业为48%。
- 多个接触点意味着更高的风险
新的金融技术(如移动支付)的兴起增加了与消费者的接触机会和次数,这反过来也会增加漏洞接入点的数量,并扩大安全主管面临的风险。尽管有72%的金融服务企业会通过API共享用户名和密码,58%的企业通过API共享支付细节,51%的企业不会加密流量,这可能会将传输中的高价值数据泄露出去。
这项调查是由Ponemon研究所代表Radware进行的,涵盖了来自六大洲的跨零售、医疗和金融服务行业的600多位首席信息安全官和其他安全领袖。
完整报告:
https://www.radware.com/WebApplicationSecurityReport/
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。