• <code id="vhrz3"><strong id="vhrz3"></strong></code>
    <label id="vhrz3"><sup id="vhrz3"><li id="vhrz3"></li></sup></label>
    1. 正在阅读£º你的Web应用安全吗£¿答案让高管们喜忧参半你的Web应用安全吗£¿答案让高管们喜忧参半

      2018-10-24 16:30 出处£º其他 作者£º佚名 责任编辑£ºsunziyi

      ¡¡¡¡¡¾PConline 深度¡¿过去一年£¬各类数据泄露事件(英国航空公司¡¢Under Armor¡¢Panera Bread)频繁见诸报端¡¢GDPR的引入以及最新应用开发架构和框架的出现£¬因此£¬Radware在最新的报告?#27844;?#24067;了应用安全现状¡£这项针对高管和IT专业人士的全球调查提出了?#27844;?#23041;胁¡¢顾虑和应用安全策略的深刻见解¡£

      ¡¡¡¡接受调查的人表示£¬他们对包括数据泄露¡¢机器人程序管理¡¢DDoS?#33322;â¡¢API安全和DevSecOps等在内的各类应用安全挑战的常见趋势很有信心¡£90%的各地区受访者表示£¬他们的安全模型能够有效?#33322;âWeb应用攻击¡£

      ¡¡¡¡针对应用的攻击保持着很高记录£¬敏感数据的共享也比以往任何时候更多¡£因此£¬高管和IT专业人士如?#25991;?#23545;他们的应用安全有如此大的信心呢£¿

      ¡¡¡¡为了了解得更全面£¬Radware研究了当前的威胁形势以及企?#30340;š¤安?#29992;的防护策略¡£立即得出了一些互相矛盾的结果£º

      ¡¡¡¡•90%的企业遭受了针对应用的攻击

      ¡¡¡¡•三分之一的企业与第三方共享敏感数据

      ¡¡¡¡•33%的企业允许第三方通过API创建/修改/删除数据

      ¡¡¡¡•67%的企业认为黑客可以侵入企业网络

      ¡¡¡¡•89%的企业将Web抓取作为针对IP知识产权的重大威胁

      ¡¡¡¡•83%的企业会采取奖金计划来查找遗漏的漏洞

      ¡¡¡¡针对应用服务的许多威胁并没有得到很好的解决£¬这为传统安全方法带来了挑战¡£与此同?#20445;¬Ò览?#19982;多个服务进行大量集成的新兴框架和架构的采用增加了复?#26377;?#20197;及攻击覆盖范围¡£

      ¡¡¡¡当前的威胁现状

       

      ¡¡¡¡去年11月£¬OWASP发布了新的十大Web应用漏洞列表¡£黑客们继续使用注入¡¢XSS以及CSRF¡¢RFI/LFI和会话劫持等故有技术来利用这些漏洞£¬获取对敏感信息的未授权访问¡£由于攻击均来自可信来源£¬如CDN¡¢?#29992;?#27969;量或系统API以及整合的服务£¬因此£¬防护措施也变得越来越复杂¡£机器人程序表现的像是真实用户£¬并且可以绕过CAPTCHA¡¢基于IP的检测措施等质询机制£¬使得保护并优化用户体验变得更加困难¡£

      ¡¡¡¡Web应用安全解决方案必须更加智能£¬并且可以解决广泛的漏洞利用场景¡£除了保护应用免受这些常见漏洞的攻击£¬还必须保护API£¬?#33322;âDoS攻击£¬管理机器人程序流量£¬区分合法的机器人程序(如搜索引擎)和不良机器人程序¡¢Web抓取器等¡£

      ¡¡¡¡DDoS攻击

      ¡¡¡¡63%的企业遭受了针对应用的拒绝服务攻击¡£DoS攻击通过耗尽应用资源让应用无法运?#23567;?#32531;冲区溢出和HTTP洪水是最常见的DoS攻击类型£¬这?#27490;?#20987;类型在亚太区更为常见¡£36%的企业认为£¬HTTP/L7层DDoS是最难?#33322;?#30340;攻击¡£一半的企业采用基于速率的方法(如?#21512;?#21046;来?#38405;?#20010;来源的请求数量或简单地购买基于速率的DDoS防护解决方案)£¬一旦超过阈值£¬这些方法就会失效£¬真实用户就无法连接了¡£

      ¡¡¡¡API攻击

      ¡¡¡¡API简化了应用服务的架构和交付£¬使数字交互成为可能¡£遗憾的是£¬API也增加了更多风险和漏洞£¬成为了黑客入侵网络的后门¡£通过API£¬数据可以在HTTP中交换£¬双方可以接收¡¢处理并共享信息¡£理论上£¬第三方能够在应用中插入¡¢修改¡¢删除并检索内容¡£这?#37096;?#20197;作为攻击的入口£º

      ¡¡¡¡•62%的受访者不会?#29992;?#36890;过API的数据

      ¡¡¡¡•70%的受访者不要求身份验证

      ¡¡¡¡•33%的受访者允许第三方执?#32961;?#20316;(GET/POST/PUT/DELETE)

      ¡¡¡¡针对API的攻击£º

      ¡¡¡¡•39%为非法访问

      ¡¡¡¡•32%为暴力?#24179;?#25915;击

      ¡¡¡¡•29%为?#36824;?#21017;JSON/XML表达式

      ¡¡¡¡•38%为协议攻击

      ¡¡¡¡•31%为拒绝服务

      ¡¡¡¡•29%为注入攻击

      ¡¡¡¡机器人程序攻击

      ¡¡¡¡良性机器人程序和不良机器人程序的流量都在增长¡£企业被迫要增加网络容量£¬并且需要能够精?#36820;?#21306;分敌友£¬从而维持客户体验和安全¡£令?#21496;?#35766;的是£¬98%的企业声称他们可以这样区分¡£然而£¬同样有98%的企业将Web抓取看做重大威胁¡£过去一年£¬尽管企业采用了各种方法来克服这一挑战——CAPTCHA¡¢会话终止¡¢基于IP的检测£¬甚至是购买专门的防机器人程序解决方案£¬但仍有87%的企业受到了攻击的影响¡£

      ¡¡¡¡Web抓取的影响£º

      ¡¡¡¡•50%收集价格信息

      ¡¡¡¡•43%复制网站内容

      ¡¡¡¡•42%窃取知识产权

      ¡¡¡¡•37%库存排队/被机器人程序控制

      ¡¡¡¡•34%库存持有

      ¡¡¡¡•26%买断库存

      ¡¡¡¡数据泄露

      ¡¡¡¡跨国企业会密?#27844;?#27880;他们采集并共享的数据类型¡£然而£¬几乎所有其他企业(46%)都表示£¬他们遭受了数据泄露¡£企业平均每年会遭受16.5次数据泄露¡£多数企业(85%)需要几个小时到几天时间才能发现数据泄露¡£在Radware研究受访者看来£¬数据泄露是最难检测和?#33322;?#30340;攻击¡£

      ¡¡¡¡企业如何发现数据泄露£¿

      ¡¡¡¡•69%为异常检测工具/SIEM

      ¡¡¡¡•51%为Darknet监控服务

      ¡¡¡¡•45%为信息被公开泄露

      ¡¡¡¡•27%为要求赎金

      ¡¡¡¡攻击影响

      ¡¡¡¡攻击成功之后£¬声誉受损¡¢客户赔偿¡¢法律行动(在EMEA地区更常见)¡¢客户流失(在亚太区更常见)¡¢股价下降(在AMER地区更常见)¡¢高管失业等负面影响很快就会出现£¬恢复企业声誉的过程很长£¬也不一定奏效¡£?#21152;?#19968;半的人承认曾遭遇过这种影响¡£

      ¡¡¡¡保护新兴应用开发框架

      ¡¡¡¡应用数量的快速增长及其跨多个环境的分布要求在需要修改应用时能够对其进行调整¡£在所有环境中高效部署并维护相同的安全策略几乎是不可能的¡£Radware研究表明£¬?#21152;?0%的应用每周都会发生变化¡£安全团队如何才能与时俱进£¿

      ¡¡¡¡尽管93%的企业采用了Web应用防火墙(WAF)£¬但只有30%的企业采用了整合了主动和被动安全模型的WAF£¬可以实现有效的应用防护¡£

      ¡¡¡¡DevOps采用的技术

      ¡¡¡¡•63%——DevOps和自动工具

      ¡¡¡¡•48%——容器(60%采用了编排)

      ¡¡¡¡•44%——无服务器/FaaS

      ¡¡¡¡•37%——微服务器

      ¡¡¡¡在使用微服务的受访者中£¬一半的人认为数据防护是最大挑战£¬其次是可用性保证¡¢策略执?#23567;?#36523;份验证和可见性¡£

      ¡¡¡¡总结£º企业是否信心十足£¿是的¡£这是一种错误的安全感吗£¿是的¡£攻击在不断演变£¬安全措施也并非万无一失¡£拥有恰当的应用安全工具和流程可能会为企业提供一种掌控能力£¬但他们迟早会被破坏或绕过¡£企业面临的另一个问题是£¬高管们是否已经完全意识到了日常事件¡£这是理所?#27604;?#30340;£¬他们希望内部团队负责应用安全并解决问题£¬但他们对企业应用安全策略的有效性和实际的暴露风险之间的感知似乎存在脱节¡£

       
      来不及淘宝了 教你3分钟做出高颜值红包封 医院内网染病毒履杀不止 真相竟然是这样的 出门找个车位真是难 未来用AI实时预判空车位£¿ IPv6终于迎来发展元年 却挡了SDN的前路£¿ 3D打印的磁性网格机器人长这样£¿可抓取小物体

      为您推荐

      加载更多
      加载更多
      加载更多
      加载更多
      加载更多
      加载更多
      加载更多
      加载更多
      加载更多

      网络设备论?#31243;û×优?#34892;

      最高点击 最高回复 最新
      最新资讯离线随时看 聊天吐槽赢奖品
      ½ñÍíÂòÒ»ÉúФÖÐÌØ

    2. <code id="vhrz3"><strong id="vhrz3"></strong></code>
      <label id="vhrz3"><sup id="vhrz3"><li id="vhrz3"></li></sup></label>
      1. <code id="vhrz3"><strong id="vhrz3"></strong></code>
        <label id="vhrz3"><sup id="vhrz3"><li id="vhrz3"></li></sup></label>