数字化转型是否让 AppSec 无头?
来源:CPDA数据分析师网 / 作者:数据君 / 时间:2021-06-22
大流行肯定会加速这种向无头 AppSec 的转变
毫无疑问,Covid-19 已经加速了公司正在做的所有事情,但在一条更长的道路上,许多公司正处于数字化转型的过程中,但是——当大流行来袭时——他们意识到,为了在市场上具有竞争力,他们需要加快向数字化的转变并转向云以获得更大的灵活性,大流行还导致组织改变了他们构建软件的方式,市场比以往任何时候都更具竞争力,因此为了跟上步伐,组织需要快速迭代并更快地进入市场。事实上,许多企业都在之内提出新功能并在内投入生产。
但这种速度证明需要无头 AppSec
您不能再让不同的团队构建代码、测试代码等,您需要自动化这些流程并让一个团队处理它们。理想情况下,开发人员不仅应该能够编写代码,还应该能够诊断错误并进行修复。例如,基础设施本身变得非常动态和可编程,考虑微服务、容器安全的兴起。它将所有用于操作的事情都推送到代码中,以便开发人员可以控制它,开发和运营并不是应该在同一个团队中的两个功能,安全也应该如此,安全工具应该放在开发人员的管道中,这样他们就可以在无需与安全人员联系的情况下修复缺陷。
帮助对感兴趣的开发人员进行安全实践培训
这些开发人员可以在他们的团队中充当安全的代言人,从而无需进行安全交接,并且所有安全工具都应该自动化到开发人员现有的工具和流程中,这样他们就不必花费额外的时间进行 AppSec 扫描,这种自动化可以为机器学习和人工智能打开大门,机器学习在自动化数据集的推动下蓬勃发展,它可以评估之前修复的扫描数据和代码,以提出自动修复规则。如果 AppSec 扫描是自动化的并且修复是自动化的,那将是无头 AppSec 的终形式自动修复是一种非常现实的可能性,我们应该会在今年年底之前看到它。
数据泄露调查报告证明网络犯罪在大流行期间继续猖獗
尽管全球大流行,但发现网络犯罪继续猖獗,与前几年一样,大多数违规行为都是出于经济动机,而且大多数是由外部行为者非法访问数据造成的,网络钓鱼、勒索软件和 Web 应用程序攻击……天哪!网络钓鱼和勒索软件攻击,以及持续大量的 Web 应用程序攻击,主导了 2021 年的数据泄露,在今年的数据集中,网络钓鱼攻击占数据泄露的 36%,比去年增加了 11%,勒索软件攻击增加了 6%,占违规行为的 10%。这种增长可能归因于勒索软件现在在加密数据时窃取数据的新策略。事实证明,勒索软件对网络犯罪分子非常有效。不需要太多的键盘操作,对于网络犯罪分子来说,这是一种相对容易的快速赚钱方式。
Web 应用程序占所有数据泄露事件的 39%
大多数受到攻击的 Web 应用程序都是基于云的,鉴于在大流行期间更多地转向数字化,这并不奇怪,大多数 Web 应用程序攻击都是通过窃取凭据或暴力攻击进行的,在遭受凭证管理攻击的组织中,95% 的组织全年经历了 637 到 33 亿次恶意登录尝试。
如果您按地区查看漏洞
则由欧洲、中东和非洲组成的地区的 Web 应用程序攻击比例,这是 Web 应用程序连续第二年占欧洲、中东和非洲地区违规行为的大部分 (54%),毫不奇怪,常被破坏的数据类型是凭证——它与网络攻击密切相关,在亚洲Web 应用程序攻击仅次于社会工程攻击,而在北美,Web 应用程序攻击排名第三仅次于社会工程和系统入侵,Web 应用程序威胁在 11 个检查的行业中也很普遍,尤其是在信息行业。众所周知,零售业容易受到 Web 应用程序攻击,因此降低了 Web 应用程序漏洞的比例。
企业可以采取哪些措施来防止 Web 应用程序攻击?
毫无疑问,Covid-19 已经加速了公司正在做的所有事情,但在一条更长的道路上,许多公司正处于数字化转型的过程中,但是——当大流行来袭时——他们意识到,为了在市场上具有竞争力,他们需要加快向数字化的转变并转向云以获得更大的灵活性,大流行还导致组织改变了他们构建软件的方式,市场比以往任何时候都更具竞争力,因此为了跟上步伐,组织需要快速迭代并更快地进入市场。事实上,许多企业都在之内提出新功能并在内投入生产。
但这种速度证明需要无头 AppSec
您不能再让不同的团队构建代码、测试代码等,您需要自动化这些流程并让一个团队处理它们。理想情况下,开发人员不仅应该能够编写代码,还应该能够诊断错误并进行修复。例如,基础设施本身变得非常动态和可编程,考虑微服务、容器安全的兴起。它将所有用于操作的事情都推送到代码中,以便开发人员可以控制它,开发和运营并不是应该在同一个团队中的两个功能,安全也应该如此,安全工具应该放在开发人员的管道中,这样他们就可以在无需与安全人员联系的情况下修复缺陷。
帮助对感兴趣的开发人员进行安全实践培训
这些开发人员可以在他们的团队中充当安全的代言人,从而无需进行安全交接,并且所有安全工具都应该自动化到开发人员现有的工具和流程中,这样他们就不必花费额外的时间进行 AppSec 扫描,这种自动化可以为机器学习和人工智能打开大门,机器学习在自动化数据集的推动下蓬勃发展,它可以评估之前修复的扫描数据和代码,以提出自动修复规则。如果 AppSec 扫描是自动化的并且修复是自动化的,那将是无头 AppSec 的终形式自动修复是一种非常现实的可能性,我们应该会在今年年底之前看到它。
数据泄露调查报告证明网络犯罪在大流行期间继续猖獗
尽管全球大流行,但发现网络犯罪继续猖獗,与前几年一样,大多数违规行为都是出于经济动机,而且大多数是由外部行为者非法访问数据造成的,网络钓鱼、勒索软件和 Web 应用程序攻击……天哪!网络钓鱼和勒索软件攻击,以及持续大量的 Web 应用程序攻击,主导了 2021 年的数据泄露,在今年的数据集中,网络钓鱼攻击占数据泄露的 36%,比去年增加了 11%,勒索软件攻击增加了 6%,占违规行为的 10%。这种增长可能归因于勒索软件现在在加密数据时窃取数据的新策略。事实证明,勒索软件对网络犯罪分子非常有效。不需要太多的键盘操作,对于网络犯罪分子来说,这是一种相对容易的快速赚钱方式。
Web 应用程序占所有数据泄露事件的 39%
大多数受到攻击的 Web 应用程序都是基于云的,鉴于在大流行期间更多地转向数字化,这并不奇怪,大多数 Web 应用程序攻击都是通过窃取凭据或暴力攻击进行的,在遭受凭证管理攻击的组织中,95% 的组织全年经历了 637 到 33 亿次恶意登录尝试。
如果您按地区查看漏洞
则由欧洲、中东和非洲组成的地区的 Web 应用程序攻击比例,这是 Web 应用程序连续第二年占欧洲、中东和非洲地区违规行为的大部分 (54%),毫不奇怪,常被破坏的数据类型是凭证——它与网络攻击密切相关,在亚洲Web 应用程序攻击仅次于社会工程攻击,而在北美,Web 应用程序攻击排名第三仅次于社会工程和系统入侵,Web 应用程序威胁在 11 个检查的行业中也很普遍,尤其是在信息行业。众所周知,零售业容易受到 Web 应用程序攻击,因此降低了 Web 应用程序漏洞的比例。
企业可以采取哪些措施来防止 Web 应用程序攻击?
应用程序显然是一个攻击目标,它们很容易受到攻击,我们近的软件安全状况报告发现 76% 的应用程序存在某种安全漏洞,但我们的报告还发现,那些经常扫描代码以获取安全性的人可以在大约三周的时间内稳定地修复一半的安全漏洞。应用程序安全测试尽早并经常奏效,它也可能很快成为一项要求,美国近关于网络安全的行政命令包括对软件安全测试的要求,包括静态分析和软件组合分析。
商业联合会数据分析专业委员会