全球領先的虛擬數據中心、云數據中心和軟件定義數據中心應用交付和網絡安全解決方案提供商Radware公司日前發布了其2019年網絡應用安全狀況報告。Radware發現,當組織將其應用轉移到微服務環境中時,保護這些環境的責任也隨之轉移。開發安全操作(DevSecOps)角色的快速擴展已經改變了公司處理其安全狀態的方式,大約70%的調查對象表示:CISO在決定安全軟件策略、工具和實現方面不是十分具有影響力的。這種轉變使企業面臨更大范圍的安全風險和漏洞威脅。
事實上,90%的受訪者在過去12個月內經歷了數據泄露,53%的受訪者認為云數據或應用數據暴露是由對云提供商安全責任的誤解而導致的。
EMA安全與風險管理的前管理研究主任DavidMonahan說:“當前向容器和微服務的轉移在提供部署的便利性,為持續集成和持續開發(CICD)創造了能力,并提高了應用性能。但同時也帶來了一些內在風險。”
Radware首席營銷官AnnaConvery-Pelletier表示:“在文化上,我們正處在DevSecOps和CISO角色轉變的拐點。”“我們的研究表明,無論受訪者的頭銜如何,他們都覺得自己可以控制企業的安全狀況。然而,90%的組織仍然經歷數據丟失。這個矛盾反映了DevSecOps和傳統IT安全角色間的差異。雖然CISO面臨著不惜一切代價保證組織安全的責任,但DevSecOps團隊認識到敏捷性對業務操作至關重要,因此他們經常被迫采取‘足夠好’的方法。”
轉向微服務
組織正在調整角色和職責,以應對伴隨新環境而來的敏捷性和安全性需求。超過90%的受訪者表示他們的組織擁有開發運營(DevOps)或DevSecOps團隊。這些團隊(DevSecOps+DevOps)相對較新,只有21%的受訪者報告DevSecOps團隊的存在時間超過24個月。在評估DevOps和DevSecOps團隊之間的協作時,49%的人表示團隊之間的合作非常緊密,而46%的人表示他們正在努力合作。
對云安全提供商的信任正在下降。在2018年,86%的受訪者表示,他們信任云提供商的安全水平。一年后,這一數字下降了14個百分點,降至72%。
應用攻擊盛行
報告顯示,應用攻擊是一種持續的威脅。受訪者每天遭受的攻擊范圍包括訪問違規、會話/cookie中毒、SQL注入、拒絕服務、協議攻擊、跨站點腳本、跨站點請求偽造和API操作。
除了調查數據外,該報告還包括了Radware的機器人管理器客戶流量的趨勢,后者發現45%的互聯網流量來自機器人。機器人流量的細分顯示,17%的流量來自“好”機器人,28%來自惡意機器人。
