2022年應用安全報告：重要趨勢與挑戰

當今世界，網絡安全狀況不斷變化，新型威脅層出不窮，所有企業都應將安全視為頭等大事。業務應用越來越為網絡犯罪分子所垂涎，其抵御攻擊的能力成為了運營的重要組成部分。正如網絡罪犯類型繁多、網絡攻擊花樣百出，企業可以選擇的應用安全增強方式也多種多樣。

為摸清應用安全現狀，Cybersecurity Insiders與HelpSystems旗下Beyond Security合作，深入研究了網絡安全趨勢。研究報告基于對網絡安全專業人員的全面調查，深入分析了當前的趨勢、挑戰和應用安全解決方案。為創建平衡的代表性樣本，所選受訪者的職級、部門、所屬公司規模、行業和資源各不相同。

主要關切和挑戰

44%的受訪者稱，企業最大的應用安全顧慮之一，是數據保護問題。此外，42%的受訪者擔憂難以跟上不斷增加的漏洞，38%關注威脅和數據泄露檢測，37%憂心云應用安全保護問題。網絡安全專業人士的其他關注重點還包括保護自己開發的應用（37%），以及抵御惡意軟件（29%）。

被問及哪些類型的應用給企業帶來的安全風險最高時，42%的受訪者提到了面向客戶的Web應用，40%則指向了老舊應用。移動應用（30%）、桌面應用（28%）和面向內部的Web應用（26%）占比稍減，但仍構成風險。

研究也努力調查了哪些潛在問題可能會阻礙企業更好地防御針對應用的攻擊。受訪企業認為，鞏固防御的主要障礙包括安全熟手短缺（39%）、員工安全意識低下（35%）和預算不足（35%），其次是部門之間缺乏協作（29%），管理支持和意識缺失（26%）。 

在滲透測試業務應用方面也表現出了類似的問題。被問及滲透測試面臨哪些重大挑戰時，25%的受訪者提到了難以招聘到技能嫻熟的員工，16%的受訪者表示測試盡可能多的應用成本太高，而13%的受訪者則表示盡可能頻繁地進行測試花費太多。此外，45%的受訪者稱，快速開發和發布新軟件的壓力導致應用開發人員忽視安全編碼實踐。 

應用攻擊：有多常見？都有哪些形式？

受訪企業中，44%經歷過數據泄露，其中僅去年一年就有20%經歷過數據泄露。雖然24%的受訪者沒有經歷過任何數據泄露，但大約32%的受訪者不確定自己過去是否經歷過應用泄露或入侵。

至于過去12個月以來針對應用的安全攻擊，31%的受訪者稱遭遇過惡意軟件攻擊，23%經歷過分布式拒絕服務（DDoS）攻擊，21%經歷了應用錯誤配置，還有20%憑證被盜。雖然主要威脅幾乎沒變，但應用攻擊的數量和風險都在上升。

企業如何抵御攻擊

絕大部分受訪企業（91%）都設置有某種專門的應用安全計劃。盡管小部分受訪企業（9%）完全依賴外包應用安全，但這些企業中有39%使用內部管理，36%采用內部和外包應用安全相組合的方式。這表明，在很大程度上，企業至少部分依靠自家網絡安全人員的技術和專業知識來保護應用安全。

想要保護業務應用，可以在開發和發布期間的某個時間點或多個時間點執行自動測試。在自動安全測試方面，54%的受訪企業在軟件發布生命周期中進行了某種形式的自動化測試。其中，48%在軟件測試期間自動化安全測試，31%在監測期間，29%在代碼開發期間，23%在產品發布期間。還有少部分受訪企業在運營審查（16%）和規劃（15%）期間自動化安全測試。

總的說來，調研結果顯示，企業正認真對待應用安全問題，努力保護自身應用不遭攻擊侵害。令人欣喜的是，51%的受訪者預計在未來12個月會增加應用安全預算，34%的受訪者預計其預算將保持不變。

結語

應用攻擊威脅日益嚴重，令企業深陷惡意軟件、中斷、盜竊和錯誤配置利用的風險之中。企業必須投入時間、精力和金錢來確保自身應用安全，大多數受訪企業都將應用安全視為頭等大事。

盡管企業明白應用安全的重要性，也愿意努力保護應用安全，但仍有一些障礙在阻礙企業實踐應用安全防護。最大的障礙就是人手短缺、員工安全意識匱乏，以及沒有合適的預算來保護應用。不過，超過一半的受訪者預計來年應用安全的預算會增加。