需要为AppSec制定专门的事情响应计划吗
发布时间:2023-02-27 10:23:24 所属栏目:安全 来源:
导读:2022年,大量企业组织开始关注AppSec(应用程序系统的安全性),以此为推动力来构建组织的数字化转型发展模式。而在此前,AppSec往往被视为阻碍业务系统快捷运行的一种障碍。通过正确实施AppSec计划,不仅可以保障企
|
2022年,大量企业组织开始关注AppSec(应用程序系统的安全性),以此为推动力来构建组织的数字化转型发展模式。而在此前,AppSec往往被视为阻碍业务系统快捷运行的一种障碍。通过正确实施AppSec计划,不仅可以保障企业业务的稳定开展,而且可以避免安全攻击导致的财产和商誉损失。不过有安全研究人员表示,为了在2023年提高应用程序的安全性,企业组织应该为AppSec制定专门的事件响应计划。 报告数据显示,软件供应链攻击在2021年快速增长了633%,其中有41%的应用程序组件还是易受攻击的版本。与此同时,随着企业组织将IT基础设施迁移至云端,并采用更多的Web应用程序,这导致对API使用快速增长,平均每家企业使用了15,600个API。这也使得企业中的员工成为可被利用的攻击路径。攻击者可以通过勒索软件、恶意软件、网络钓鱼和诈骗等诸多手段,通过普通员工的人为错误达成攻击企图。 除此之外,攻击者还专注于通过在网络边缘运行的许多安全控制来锁定应用程序。在2022年举行的Black Hat Asia会议上,研究人员就展示了通过WAF设备漏洞进行入侵攻击的方法。而在2021年12月,网络安全公司Claroty也同样演示了如何使用JSON绕过五款主流WAF产品进行模拟攻击。 软件开发成为新的攻击面:由于软件系统的研发速度不断加快,开发人员成为一个重要的攻击目标。根据供应链攻击防护的要求,企业安全团队需要对业务有更深入的了解,他们必须能够展示出具备数据管理和评估安全问题的领导力,而不要在安全攻击发生之后给研究人员加码。 大规模灾难事件:供应链攻击通常是大规模灾难事件,可能在一次“攻击”中影响数千个组织。标准的安全事件响应计划通常不适用于需要外部协商的大规模应用系统安全事件。外部的安全专家们此时可能已经不堪重负,而企业组织却无法承担相应延迟的后果与损失。 AppSec还是一个不成熟的领域:AppSec的重要性直到最近才得到企业组织的关注,这也是安全团队必须正视的客观现象,因此很多安全人员对这类威胁的认知并不全面。如今,随着应用程序攻击面不断扩大并在全球范围内相互交织,可用的解决方案和专有技术在能力上仍然存在不足。 攻击者并不需要先进的技术:由于企业缺乏足够的工具来保护行业免受供应链风险的影响,并且现有的安全工具仍然不够完善。这对攻击者而言是非常有利的,一旦攻击成功,他们可以从数千个组织获得重要数据,而非一个组织。在防御方面,组织对通过CI/CD构建的应用系统缺乏可见性,对开发过程的可见性更少,这使得保护AppSec非常困难。因此,我们认为,appsec的目标是建立一个基于云的安全框架,以确保所有应用程序都能够访问我们的服务。 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐