79%的企業(yè)無法確定Web流量是來自人還是計算機程序
日前,全球領(lǐng)先的網(wǎng)絡(luò)安全和應(yīng)用交付解決方案提供商Radware公司最新發(fā)布了一項名為Radware研究報告:數(shù)字連接領(lǐng)域的Web應(yīng)用安全的報告。該報告深入研究了企業(yè)如何保護Web應(yīng)用的安全,確定了常見DevOps實踐中顯而易見的安全差距,強調(diào)了主要的攻擊類型和載體,并確定了風險和需要關(guān)注的重要領(lǐng)域。
該研究集中在零售、醫(yī)療和金融服務(wù)等成為目標的可能性很高的行業(yè),揭露了機器人程序催生的Web流量的激增以及對企業(yè)應(yīng)用安全的影響。事實上,機器人程序產(chǎn)生的流量在所有互聯(lián)網(wǎng)流量流中所占的比例超過一半(52%)。對某些企業(yè)而言,機器人程序流量占了總體流量的75%以上。由于三分之一(33%)的企業(yè)無法區(qū)分‘健康’機器人程序和‘不良’機器人程序,因此這一發(fā)現(xiàn)的意義就更加重大了。
報告還發(fā)現(xiàn),將近一半(45%)的受訪者在過去一年都遭受了數(shù)據(jù)泄露,68%的受訪者不確定是否能夠保護企業(yè)信息安全。更重要的是,企業(yè)還是會經(jīng)常丟失被保護的敏感數(shù)據(jù)。事實上,52%的企業(yè)并沒有檢查進出API的流量,56%的企業(yè)無法在數(shù)據(jù)離開企業(yè)之后進行追蹤。
任何可以采集歐洲公民信息的企業(yè)在不久的未來都必須要滿足由通用數(shù)據(jù)保護條例(GDPR)強加的嚴格數(shù)據(jù)隱私法。這些條例將于2018年5月生效。然而,在截止日期前不到一年的時間,68%的企業(yè)仍然不確定他們是否能及時滿足這些要求。
Radware安全解決方案副總裁Carl Herberger表示:“令人擔憂的是,來自擁有數(shù)百萬消費者敏感數(shù)據(jù)的企業(yè)的高管對自身安全沒有信心。他們了解這些風險,但盲點仍會繼續(xù)構(gòu)成威脅。在企業(yè)掌握漏洞所在并采取防護措施之前,重大攻擊和數(shù)據(jù)泄露事件仍將繼續(xù)成為焦點。”
Larry Ponemon博士表示:“該報告明確指出,持續(xù)交付應(yīng)用服務(wù)的壓力限制了DevOps在SDLC的各個階段確保Web應(yīng)用安全的能力。”
主要調(diào)查結(jié)果包括:
- 應(yīng)用安全是事后諸葛亮。每個人都希望實現(xiàn)APP開發(fā)提供的持續(xù)交付模型所需的全面自動化和靈活性。目前,一半(49%)的受訪者使用了持續(xù)交付的應(yīng)用服務(wù),另有21%的企業(yè)計劃在未來12-24個月內(nèi)采用。然而,持續(xù)交付會增加APP開發(fā)的安全挑戰(zhàn):62%的企業(yè)預(yù)計這會增加攻擊范圍,約有一半的企業(yè)表示,他們沒有在持續(xù)交付過程中整合安全。
- 機器人程序正在逐漸占據(jù)市場。現(xiàn)在,機器人程序成為了在線零售的支柱。零售商們會將機器人程序用于價格匯總、電子優(yōu)惠券、聊天機器人等。事實上,41%的零售商表示,75%以上的流量都來自于機器人程序,而40%的零售商卻仍不能區(qū)分“健康”機器人程序和“不良”機器人程序。惡意機器人程序才是真正的風險所在。Web抓取攻擊會通過竊取知識產(chǎn)權(quán)、降低價格、在不確定的情況下持有大量庫存,以及通過未授權(quán)渠道加價買光庫存進行商品轉(zhuǎn)售,來打擊零售商。但機器人程序并不是零售商獨有的問題。在醫(yī)療行業(yè),42%的流量來自于機器人程序,只有20%的IT安全主管確信可以識別出“不良”機器人程序。
- API安全經(jīng)常會被忽略。約有60%的企業(yè)會通過API共享并使用個人身份信息、用戶名/密碼、付款細節(jié)、醫(yī)療記錄等數(shù)據(jù)。然而,52%的企業(yè)并不會檢查通過API傳輸?shù)臄?shù)據(jù),51%的企業(yè)不會在整合之前執(zhí)行任何安全審計或分析API漏洞。
- 對零售商而言,假日風險很高。假日期間,零售商會面臨兩種截然不同但破壞力極大的威脅:中斷和數(shù)據(jù)泄露。假日期間零售商會賺取大量利潤,在此期間出現(xiàn)的Web中斷可能會帶來災(zāi)難性的經(jīng)濟后果。然而,一半以上(53%)的企業(yè)不確信是否可以為應(yīng)用服務(wù)提供100%的正常運行時間。黑色星期五和網(wǎng)絡(luò)星期一等高需求時段也會給客戶數(shù)據(jù)帶來麻煩:30%的零售商表示無法在這些時段保護敏感數(shù)據(jù)的安全。
- 患者的醫(yī)療數(shù)據(jù)也面臨風險。只有27%的醫(yī)療行業(yè)受訪者有信心可以保護患者的醫(yī)療記錄,即使將近80%的數(shù)據(jù)必須符合政府規(guī)定。修復(fù)系統(tǒng)對企業(yè)安全而言至關(guān)重要,他們能夠緩解當前的領(lǐng)先威脅,但只有62%的醫(yī)療受訪者對企業(yè)是否能夠快速使用安全補丁并在不破壞運營的前提下進行更新信心不足或沒有信心。一半以上(55%)的醫(yī)療機構(gòu)表示,在數(shù)據(jù)離開公司網(wǎng)絡(luò)之后,他們無法追蹤與第三方共享的數(shù)據(jù)。醫(yī)療機構(gòu)不太可能會監(jiān)控可以竊取數(shù)據(jù)的Darknet,只有37%的醫(yī)療機構(gòu)可以這樣做,金融服務(wù)的比例為56%,零售業(yè)為48%。
- 多個接觸點意味著更高的風險。新的金融技術(shù)(如移動支付)的興起增加了與消費者的接觸機會和次數(shù),這反過來也會增加漏洞接入點的數(shù)量,并擴大安全主管面臨的風險。盡管有72%的金融服務(wù)企業(yè)會通過API共享用戶名和密碼,58%的企業(yè)通過API共享支付細節(jié),51%的企業(yè)不會加密流量,這可能會將傳輸中的高價值數(shù)據(jù)泄露出去。
這項調(diào)查是由Ponemon研究所代表Radware進行的,涵蓋了來自六大洲的跨零售、醫(yī)療和金融服務(wù)行業(yè)的600多位首席信息安全官和其他安全領(lǐng)袖。
查看完整調(diào)查結(jié)果報告,請點擊下載:Radware研究報告:數(shù)字連接領(lǐng)域的Web應(yīng)用安全報告。https://www.radware.com/WebApplicationSecurityReport/
關(guān)于Radware
Radware是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應(yīng)用交付和應(yīng)用安全解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應(yīng)用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運營商快速應(yīng)對市場挑戰(zhàn),保持業(yè)務(wù)的連續(xù)性,在實現(xiàn)最高生產(chǎn)效率的同時有效降低成本。
