劉詢

盡管多數(shù)企業(yè)花費(fèi)幾小時(shí)或幾天時(shí)間就能發(fā)現(xiàn)數(shù)據(jù)泄露事件，但幾乎有一半的數(shù)據(jù)泄露事件可能是在信息被公開泄露后才發(fā)現(xiàn)的。

日前，網(wǎng)絡(luò)安全和應(yīng)用交付解決方案提供商Radware公司發(fā)布了第二份年度Web應(yīng)用安全調(diào)查報(bào)告———《Radware 2018年Web應(yīng)用安全現(xiàn)狀》。報(bào)告深入分析了企業(yè)在保護(hù)Web應(yīng)用安全時(shí)所面臨的挑戰(zhàn)，以及近期的安全泄露事件在過去一年對這些企業(yè)造成的影響。事實(shí)上根據(jù)報(bào)告顯示，多數(shù)企業(yè)（67 %）認(rèn)為黑客仍然可以侵入企業(yè)網(wǎng)絡(luò)。

這項(xiàng)研究關(guān)注的是跨國公司，并指出，應(yīng)用層攻擊的頻率和復(fù)雜性在不斷增長。至少89 %的受訪者在過去一年都遭遇過針對Web應(yīng)用或Web服務(wù)器的攻擊。尤其是，聲稱遭受過加密Web攻擊的受訪者從2017年的12 %增長到了2018年的50 %。多數(shù)受訪者（59 %）稱，每天或每周都會有攻擊事件發(fā)生。

Radware安全解決方案副總裁Carl Herberger表示：“盡管企業(yè)正在不斷意識到自己遭受了攻擊，但他們往往是在相關(guān)信息被泄露之后才發(fā)現(xiàn)數(shù)據(jù)泄露事件的。在當(dāng)前不斷變化的威脅環(huán)境下，企業(yè)在選擇防護(hù)措施時(shí)仍需保持警惕，才能應(yīng)對不斷增加的攻擊頻率和復(fù)雜性?！?/p>

其它重要調(diào)查結(jié)果包括：

高速率的數(shù)據(jù)采集和共享會帶來極大風(fēng)險(xiǎn)?？鐕髽I(yè)會密切關(guān)注其所采集和共享的數(shù)據(jù)，約有一半的受訪者表示，他們采集客戶數(shù)據(jù)只用于內(nèi)部使用，不會共享。然而，43 %的受訪者卻的的確確共享了關(guān)于用戶行為、偏好和分析的數(shù)據(jù)。

數(shù)據(jù)安全泄露事件的頻率和復(fù)雜性都很高。近一半（46 %）的企業(yè)在過去一年都遭受過數(shù)據(jù)安全泄露事件，受訪者也發(fā)現(xiàn)，這一類型的應(yīng)用層攻擊是最難被檢測出來并予以緩解的。

數(shù)據(jù)泄露的風(fēng)險(xiǎn)很高：數(shù)據(jù)泄露事件發(fā)生后，52 %的受訪者表示他們的客戶會要求賠償，46 %的受訪者稱遭受了重大聲譽(yù)損失，35 %的受訪者遭遇了客戶流失，34 %的受訪者稱股價(jià)下降，31 %的受訪者稱客戶對他們提起了訴訟，23 %的受訪者稱高管被辭退。

API中的漏洞越來越多。盡管82 %的企業(yè)都采用了API網(wǎng)關(guān)來共享和/或使用數(shù)據(jù)，但數(shù)據(jù)表明與API相關(guān)的安全措施卻并不充足。事實(shí)上，70 %的受訪者不需要第三方API的身份驗(yàn)證，62 %的受訪者不會加密通過API發(fā)送的數(shù)據(jù)，三分之一（33 %）的受訪者允許第三方執(zhí)行操作，這就為更多威脅打開了方便之門。

頻繁的應(yīng)用更新帶來了新的安全問題?，F(xiàn)在，企業(yè)更新應(yīng)用的頻率遠(yuǎn)遠(yuǎn)高于前幾年，據(jù)Radware 2017年調(diào)查顯示，40 %的受訪者表示企業(yè)每周至少更新一次應(yīng)用。2018年的結(jié)果顯示，約有三分之一的應(yīng)用類型每小時(shí)或每天都會更新，約有四分之一的應(yīng)用類型每周更新一次。更新頻率的增加為如何在快速變化的環(huán)境中保護(hù)應(yīng)用安全帶來了新的問題。