該研究集中在零售、醫療和金融服務等成為目標的可能性很高的行業,揭露了機器人程序催生的Web流量的激增以及對企業應用安全的影響。事實上,機器人程序產生的流量在所有互聯網流量流中所占的比例超過一半(52%)。對某些企業而言,機器人程序流量占了總體流量的75%以上。由于三分之一(33%)的企業無法區分‘健康’機器人程序和‘不良’機器人程序,因此這一發現的意義就更加重大了。
報告還發現,將近一半(45%)的受訪者在過去一年都遭受了數據泄露,68%的受訪者不確定是否能夠保護企業信息安全。更重要的是,企業還是會經常丟失被保護的敏感數據。事實上,52%的企業并沒有檢查進出API的流量,56%的企業無法在數據離開企業之后進行追蹤。
任何可以采集歐洲公民信息的企業在不久的未來都必須要滿足由通用數據保護條例(GDPR)強加的嚴格數據隱私法。這些條例將于2018年5月生效。然而,在截止日期前不到一年的時間,68%的企業仍然不確定他們是否能及時滿足這些要求。
Radware安全解決方案副總裁Carl Herberger表示:“令人擔憂的是,來自擁有數百萬消費者敏感數據的企業的高管對自身安全沒有信心。他們了解這些風險,但盲點仍會繼續構成威脅。在企業掌握漏洞所在并采取防護措施之前,重大攻擊和數據泄露事件仍將繼續成為焦點。”
Larry Ponemon博士表示:“該報告明確指出,持續交付應用服務的壓力限制了DevOps在SDLC的各個階段確保Web應用安全的能力。”
主要調查結果包括:
• 應用安全是事后諸葛亮。每個人都希望實現APP開發提供的持續交付模型所需的全面自動化和靈活性。目前,一半(49%)的受訪者使用了持續交付的應用服務,另有21%的企業計劃在未來12-24個月內采用。然而,持續交付會增加APP開發的安全挑戰:62%的企業預計這會增加攻擊范圍,約有一半的企業表示,他們沒有在持續交付過程中整合安全。
• 機器人程序正在逐漸占據市場。現在,機器人程序成為了在線零售的支柱。零售商們會將機器人程序用于價格匯總、電子優惠券、聊天機器人等。事實上,41%的零售商表示,75%以上的流量都來自于機器人程序,而40%的零售商卻仍不能區分“健康”機器人程序和“不良”機器人程序。惡意機器人程序才是真正的風險所在。Web抓取攻擊會通過竊取知識產權、降低價格、在不確定的情況下持有大量庫存,以及通過未授權渠道加價買光庫存進行商品轉售,來打擊零售商。但機器人程序并不是零售商獨有的問題。在醫療行業,42%的流量來自于機器人程序,只有20%的IT安全主管確信可以識別出“不良”機器人程序。
• API安全經常會被忽略。約有60%的企業會通過API共享并使用個人身份信息、用戶名/密碼、付款細節、醫療記錄等數據。然而,52%的企業并不會檢查通過API傳輸的數據,51%的企業不會在整合之前執行任何安全審計或分析API漏洞。
• 對零售商而言,假日風險很高。假日期間,零售商會面臨兩種截然不同但破壞力極大的威脅:中斷和數據泄露。假日期間零售商會賺取大量利潤,在此期間出現的Web中斷可能會帶來災難性的經濟后果。然而,一半以上(53%)的企業不確信是否可以為應用服務提供100%的正常運行時間。黑色星期五和網絡星期一等高需求時段也會給客戶數據帶來麻煩:30%的零售商表示無法在這些時段保護敏感數據的安全。
• 患者的醫療數據也面臨風險。只有27%的醫療行業受訪者有信心可以保護患者的醫療記錄,即使將近80%的數據必須符合政府規定。修復系統對企業安全而言至關重要,他們能夠緩解當前的領先威脅,但只有62%的醫療受訪者對企業是否能夠快速使用安全補丁并在不破壞運營的前提下進行更新信心不足或沒有信心。一半以上(55%)的醫療機構表示,在數據離開公司網絡之后,他們無法追蹤與第三方共享的數據。醫療機構不太可能會監控可以竊取數據的Darknet,只有37%的醫療機構可以這樣做,金融服務的比例為56%,零售業為48%。
• 多個接觸點意味著更高的風險。新的金融技術(如移動支付)的興起增加了與消費者的接觸機會和次數,這反過來也會增加漏洞接入點的數量,并擴大安全主管面臨的風險。盡管有72%的金融服務企業會通過API共享用戶名和密碼,58%的企業通過API共享支付細節,51%的企業不會加密流量,這可能會將傳輸中的高價值數據泄露出去。
這項調查是由Ponemon研究所代表Radware進行的,涵蓋了來自六大洲的跨零售、醫療和金融服務行業的600多位首席信息安全官和其他安全領袖。
查看完整調查結果報告,請點擊下載:Radware研究報告:數字連接領域的Web應用安全報告。
京公網安備 11010502049343號