需要为AppSec制定专门的事件响应计划吗?
发布时间:2023-02-22 08:49:43 所属栏目:安全 来源:
导读:越来越多的企业机构开始注意 AppSec (应用系统的安全),并将其作为保障组织数字化转型发展的推动因素。而在此前,AppSec往往被视为阻碍业务系统快捷运行的一种障碍。通过正确实施AppSec计划,不仅可以保障企业业务的
|
越来越多的企业机构开始注意 AppSec (应用系统的安全),并将其作为保障组织数字化转型发展的推动因素。而在此前,AppSec往往被视为阻碍业务系统快捷运行的一种障碍。通过正确实施AppSec计划,不仅可以保障企业业务的稳定开展,而且可以避免安全攻击导致的财产和商誉损失。不过有安全研究人员表示,为了在2023年提高应用程序的安全性,企业组织应该为AppSec制定专门的事件响应计划。 AppSec威胁形势严峻 2022年初爆发的Log4j漏洞,让很多企业陷入了业务系统应用防护的困境,这突出表明了目前大多数的组织还不熟悉应用程序的构成组件,也没有找到在应用开发过程中保证安全性的方法。据Sonatype最新发布的AppSec态势研究报告研究认为,2023年的AppSec威胁形势依然严峻,很多企业需要与不安全的应用程序、脆弱的软件组件以及易受攻击的云服务开展斗争。 报告数据显示,软件供应链攻击在2021年快速增长了633%,其中有41%的应用程序组件还是易受攻击的版本。与此同时,随着企业组织将IT基础设施迁移至云端,并采用更多的Web应用程序,这导致对API使用快速增长,平均每家企业使用了15,600个API。这也使得企业中的员工成为可被利用的攻击路径。攻击者可以通过勒索软件、恶意软件、网络钓鱼和诈骗等诸多手段,通过公司的普通员工的人为制造的错误机会达成竞争对手攻击公司的企图。 在2022年,有83%的受访企业遭受了基于电子邮件的网络钓鱼攻击,这很容易导致凭据失窃,继而危及Web应用程序和云基础设施。西班牙桑坦德银行(Banco Santander)网络安全研究全球主管Daniel Cuthbert认为,通过一些非常简单的社会工程技术就可以绕过企业多层应用安全措施,实现访问敏感数据、系统和网络的攻击目标,而对此的防范措施还很不完善。 除此之外,攻击者还专注于通过在网络边缘运行的许多安全控制来锁定应用程序。在2022年举行的Black Hat Asia会议上,研究人员就展示了通过WAF设备漏洞进行入侵攻击的方法。而在2021年12月,一个名为darkstor的黑客组织宣布成功利用waf漏洞,在网络上窃取了超过100万台电脑的数据。这些数据包括用户的姓名、密码、邮件地址、方法。而在2021年12月,一个名为darkstor的黑客组织宣布成功利用waf漏洞,在网络上窃取了超过100万台电脑的数据。这些数据包括用户的姓名、密码、邮件地址、方法。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐