Ponemon报告：企业如何降低应用安全风险？

　　Ponemon 研究所发布《降低企业应用安全风险：还需做的事》报告，说明了为何很多企业认为应用层的安全风险最高。该研究所和 Whitsource 一起调查了634名IT人员和 IT 实践者，探讨了他们所在企业保护应用安全的方法。在本研究项目中，企业应用安全指的是保护应用程序免遭外部攻击、权限滥用和数据盗用之害。

　　应用更易遭攻击

　　如今，企业对应用安全的关注已远超当年。这项调查表示，企业最大的担忧是对不安全应用的入侵，几乎过半的高绩效企业将其视作最大的整体威胁。

　　图1 你所在组织机构最关注哪类攻击？

　　企业已将应用安全列为优先任务

　　研究显示，这些企业平均部署了2672款业务应用，其中30%的应用对业务起着至关重要的作用。保护这些应用并非易事。

　　好在，越来越多的组织机构开始使用大量的应用安全测试 (AST) 工具，将保护应用安全列为优先任务。

　　图2 你所在组织机构如何保护应用程序的安全（可多选）

　　尽管投入在增加，很多受访者表示应用安全中存在的风险和实际分配的预算之间存在重大差距。尽管多数受访者表示网络安全的较小，但在网络安全上的仍然更多。

　　图3 安全风险和支出分配之间的差距

　　解决企业应用中的漏洞

　　为什么应用程序的安全风险如此大？从受访企业的回复来看，应用安全的挑战在于当前的解决方案无法快速修复易受攻击的应用且误报率较高。另外，监控、检测和阻止应用层面的攻击仍然难以办到。遗憾的是，这个问题变得越来越糟糕。多数受访者表示单在去年，其企业应用就变得越来越易受攻击。

　　研究揭示了为何业务关键应用的风险仍然存在，以及为何需要做更多的努力：

　　修复生产环境中的应用速度缓慢。过半受访者表示，发现生产模式中应用程序的漏洞后，修复需要数天、数周甚至是数月的时间。

　　65%的受访者表示，应用开发和安全团队之间的协作有限。

　　在新应用程序的开发过程中，安全未受到应有的重视，使得开发人员和安全团队不得不陷入你追我赶的境地。

　　需要在应用安全中加大投入力度，当前它所得到的支持力度不及网络安全。

　　在开发阶段将安全功能构建到应用程序中的组织机构数量较少。2020年，仅有21%的受访者表示其组织机构在应用程序中构建了安全功能，这个比例要大大低于5年前。

　　在新应用程序的开发过程中，安全未得到重视。

　　企业如何降低应用安全风险

　　某些企业在降低整体应用安全风险方面取得了更大的成功。本报告将其称为“高绩效者”。这些企业遵循多个最佳实践降低其应用安全风险。

　　建立构建安全的软件开发生命周期 (SSDLC) 的结构化方法，持续应用于企业范围内。

　　确保在SSDLC阶段，在设计和开发阶段构建了安全功能。

　　开发和安全团队高度协作，确保缓解应用安全风险。

　　这里的底线是，成功的企业是那些从设计和开发阶段到生产环境中的应用阶段就把应用安全放在优先级地位的企业。降低应用安全风险大部分取决于组织机构投资资源的意愿。最成功的企业既能利用自动化 AST 工具持续检测并修复漏洞，同时又能和开发及安全团队协作持续保护企业的安全。

　　责任编辑：广汉