F5application交付状态报告中的主要安全发现

正如 F5 博客的常客所知，我们已经发布了第三版应用交付状况 (SOAD) 报告。 2017 年的报告代表了近 2,200 名高管和 IT 专业人士的调查结果，涵盖了应用交付的各个方面，包括本地、混合云和云。 该报告的一些调查结果涉及受访者与安全环境的关系。 近五分之一的受访者拥有安全头衔，在本文中，我们将重点关注同行最关注的一些事项。

发现： 存在云和安全专业知识方面的差距。

令人惊讶的是，五分之四的受访者将在 2017 年采用多云策略。 其中，有一半以上的应用已经迁移到云端！ 但是，当今组织是否有足够的云专家来处理哪怕一个云？ 我认识一些 AWS 专家，但他们对 Azure 一无所知，反之亦然。

对于读过我的专栏（或Jon Oltsik 的专栏）的人来说，也许这并不奇怪，三分之一的组织认为安全技能差距是一个重大的安全挑战。 我们培训的白帽黑客还不够多，无法跟上世界各地不断训练的黑帽黑客的步伐。 机器学习和自动化的神奇组合有可能弥补安全技能差距；在 DEF CON 24 上宣布的 DARPA 网络大挑战赛已经指向了这一方向。 但在此之前，安全街的信誉值得庆贺。

举个例子：SOAD 报告询问受访者计划在未来 12 个月内部署哪些应用服务，排名第一的答案（40%）是安全性。

发现： 安全应用服务的部署变得更加复杂。

该报告询问了调查参与者他们击败新出现的威胁、保护他们的应用和数据的策略。 今年的好消息是，总体而言，与去年相比，各组织对其应对最大安全挑战的能力更有信心。

除了技能差距之外，在每个挑战领域，组织都感觉没那么恐慌。 我向该报告的作者之一Lori MacVittie询问了为什么会出现这种情况： 

“我们认为这意味着他们总体上不那么恐惧了。 我们认为，这可能是由于安全预算一直在增加，因此他们能够制定应对挑战所需的解决方案。 公开报告中没有提到这一点，但‘预算太少’是一项安全挑战，从 2016 年的 41% 下降到 2017 年的 30%，因此我们做出了推测。”

在全球范围内，对自己抵御攻击能力最有信心的组织已经超越了简单的边界安全方法。 许多公司计划在明年部署 DDoS 缓解措施（21%）、DNSSEC 保护措施（25%）和 Web应用防火墙（20%）。

发现： 我在部署应用程序时最糟糕的事情就是......

每年，SOAD 调查都会询问参与者，他们认为在应用部署过程中最糟糕的事情是什么。 

与一年前相比，安全性占据了更大的比重。 2016年，可用性超越了安全性。 或许，组织最终开始意识到，违规行为可能比中断产生更为持久的负面影响。 不断出现的违规行为可能会增强人们的这种意识。 这是一件好事。

当然，应用安全最常见的答案是 Web应用防火墙 (WAF)。 超过一半的云优先受访者表示已经部署了 WAF。 这并不太令人惊讶，但它确实让你想知道其余 48% 的人在做什么......

 2017 年application交付状况报告

感兴趣的观众可以在此处找到完整的2017年application交付状况报告。