需要为AppSec制定专门的事件响应策划吗

许多公司机构已经开始重视应用程序的系统安全问题，并将其作为保障组织数字化转型发展的推动因素。而在此前，AppSec往往被视为阻碍业务系统快捷运行的一种障碍。通过正确实施AppSec计划，不仅可以保障企业业务的稳定开展，而且可以避免安全攻击导致的财产和商誉损失。不过有安全研究人员表示，为了在2023年提高应用程序的安全性，企业组织应该为AppSec制定专门的事件响应计划。

2022年初爆发的Log4j漏洞，让很多企业陷入了业务系统应用防护的困境，这突出表明了有很多企业客户需要与不保证安全的应用程序、高度脆弱的软件组件以及不可信任的易受攻击的云服务客户开展全方位的斗争。新的方法。据Sonatype最新发布的AppSec态势研究报告研究认为，2023年的AppSec威胁形势将依然严峻，很多企业需要与不安全的应用程序、脆弱的软件组件以及易受攻击的云服务开展斗争。

在2022年，有83%的受访企业遭受了基于电子邮件的网络钓鱼攻击，这很容易导致凭据失窃，继而危及Web应用程序和云基础设施。西班牙桑坦德银行（Banco Santander）网络安全研究全球主管Daniel Cuthbert认为，通过一些非常简单的社会工程技术就可以绕过企业多层应用安全措施，实现访问敏感数据、系统和网络的攻击目标，而对此的防范措施还很不完善。

随着AppSec威胁变得越来越普遍，企业安全团队应该在应用系统安全事件响应方面做得更好。通过制定专门的AppSec事件响应计划，企业可以更好地应对AppSec威胁，为各种可能出现的应用系统攻击做好准备。这对攻击者而言是非常有利的，一旦攻击成功，他们可以从数千个组织获得重要数据，而非一个组织。在防御方面，组织对通过CI/CD构建的应用系统缺乏可见性，对开发过程的可见性更少，这使得保护AppSec非常困难。因此，我们认为，appsec的目标是建立一个基于web的安全框架，以确保所有应用程序都能访问我们的数据。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!