Radware的安全總結

企業如何發現數據泄露，你知道嗎?

跨國企業會密切關注他們採集並共享的數據類型。然而，幾乎全部其餘企業(46%)都表示，他們遭受了數據泄露。企業平均每一年會遭受16.5次數據泄露。多數企業(85%)須要幾個小時到幾天時間才能發現數據泄露。
在Radware研究受訪者看來，數據泄露是最難檢測和緩解的攻擊。Radware研究代表，企業若是發現了異常檢測工具/SIEM、Darknet監控服務、信息被公開泄露、要求贖金等非正常操做，即代表數據被泄露。
接受調查的人表示，他們對包括數據泄露、機器人程序管理、DDoS緩解、API安全和DevSecOps等在內的各種應用安全挑戰的常見趨勢頗有信心。90%的各地區受訪者表示，他們的安全模型可以有效緩解Web應用攻擊。針對應用的攻擊保持着很高記錄，敏感數據的共享也比以往任什麼時候候更多。所以，高管和IT專業人士如何能對他們的應用安全有如此大的信心呢?

當前形勢與防禦策略相互矛盾

爲了瞭解得更全面，Radware研究了當前的威脅形勢以及企業目前採用的防禦策略。當即得出了一些互相矛盾的六個結果。
(1)90%的企業遭受了針對應用的攻擊;
(2)三分之一的企業與第三方共享敏感數據;
(3)33%的企業容許第三方經過API建立/修改/刪除數據;
(4)67%的企業認爲黑客能夠侵入企業網絡;
(5)89%的企業將Web抓取做爲針對IP知識產權的重大威脅;
(6)83%的企業會採起獎金計劃來查找遺漏的漏洞。
針對應用服務的許多威脅並無獲得很好的解決，這爲傳統安全方法帶來了挑戰。與此同時，依賴與多個服務進行大量集成的新興框架和架構的採用增長了複雜性以及攻擊覆蓋範圍。

當前的威脅現狀,黑客持續注入故有技術

去年11月，OWASP發佈了新的十大Web應用漏洞列表。黑客們繼續使用注入、XSS以及CSRF、RFI/LFI和會話劫持等故有技術來利用這些漏洞，獲取對敏感信息的未受權訪問。因爲攻擊均來自可信來源，如CDN、加密流量或系統API以及整合的服務，所以，防禦措施也變得愈來愈複雜。機器人程序表現的像是真實用戶，而且能夠繞過CAPTCHA、基於IP的檢測措施等質詢機制，使得保護並優化用戶體驗變得更加困難。
Web應用安全解決方案必須更加智能，而且能夠解決普遍的漏洞利用場景。除了保護應用免受這些常見漏洞的攻擊，還必須保護API，緩解DoS攻擊，管理機器人程序流量，區分合法的機器人程序(如搜索引擎)和不良機器人程序、Web抓取器等。

●DDoS攻擊

63%的企業遭受了針對應用的拒絕服務攻擊。DoS攻擊經過耗盡應用資源讓應用沒法運行。緩衝區溢出和HTTP洪水是最多見的DoS攻擊類型，這種攻擊類型在亞太區更爲常見。36%的企業認爲，HTTP/L7層DDoS是最難緩解的攻擊。一半的企業採用基於速率的方法(如：限制來自某個來源的請求數量或簡單地購買基於速率的DDoS防禦解決方案)，一旦超過閾值，這些方法就會失效，真實用戶就沒法鏈接了。

●API攻擊

API簡化了應用服務的架構和交付，使數字交互成爲可能。遺憾的是，API也增長了更多風險和漏洞，成爲了黑客入侵網絡的後門。經過API，數據能夠在HTTP中交換，雙方能夠接收、處理並共享信息。理論上，第三方可以在應用中插入、修改、刪除並檢索內容。這也能夠做爲攻擊的入口：62%的受訪者不會加密經過API的數據，70%的受訪者不要求身份驗證，33%的受訪者容許第三方執行操做(GET/POST/PUT/DELETE)。
針對API的攻擊：39%爲非法訪問、32%爲暴力破解攻擊、29%爲不規則JSON/XML表達式、38%爲協議攻擊、31%爲拒絕服務、29%爲注入攻擊。

●機器人程序攻擊

良性機器人程序和不良機器人程序的流量都在增加。企業被迫要增長網絡容量，而且須要可以精確地區分敵友，從而維持客戶體驗和安全。使人驚訝的是，98%的企業聲稱他們能夠這樣區分。然而，一樣有98%的企業將Web抓取看作重大威脅。過去一年，儘管企業採用了各類方法來克服這一挑戰——CAPTCHA、會話終止、基於IP的檢測，甚至是購買專門的防機器人程序解決方案，但仍有87%的企業受到了攻擊的影響。Web抓取有收集價格信息、複製網站內容、竊取知識產權、庫存排隊/被機器人程序控制、買斷庫存等六點影響。
在攻擊成功以後，聲譽受損、客戶賠償、法律行動(在EMEA地區更常見)、客戶流失(在亞太區更常見)、股價降低(在AMER地區更常見)、高管失業等負面影響很快就會出現，恢復企業聲譽的過程很長，也不必定奏效。約有一半的人認可曾遭遇過這種影響。

保護新興應用開發框架

應用數量的快速增加及其跨多個環境的分佈要求在須要修改應用時可以對其進行調整。在全部環境中高效部署並維護相同的安全策略幾乎是不可能的。Radware研究代表，約有60%的應用每週都會發生變化。安全團隊如何才能與時俱進?

儘管93%的企業採用了Web應用防火牆(WAF)，但只有30%的企業採用了整合了主動和被動安全模型的WAF，能夠實現有效的應用防禦。DevOps採用的技術包括63%DevOps和自動工具、48%容器(60%採用了編排)、44%無服務器/FaaS、37%微服務器。在使用微服務的受訪者中，一半的人認爲數據防禦是最大挑戰，其次是可用性保證、策略執行、身份驗證和可見性。
企業是否信心十足?是的。這是一種錯誤的安全感嗎?是的。攻擊在不斷演變，安全措施也並不是萬無一失。擁有恰當的應用安全工具和流程可能會爲企業提供一種掌控能力，但他們早晚會被破壞或繞過。企業面臨的另外一個問題是，高管們是否已經徹底意識到了平常事件。這是理所固然的，他們但願內部團隊負責應用安全並解決問題，但他們對企業應用安全策略的有效性和實際的暴露風險之間的感知彷佛存在脫節。

原文來自：http://netsecurity.51cto.com/art/201810/585797.htm

本文地址：https://www.linuxprobe.com/radware-security-summary.html編輯：馮瑞濤，審覈員：逄增寶