博客

高度自信者的安全习惯

Lori MacVittie 缩略图
洛里·麦克维蒂
2017 年 3 月 13 日发布

2017 年application交付状况洞察

高管和安全专家都是务实的群体,至少在抵御应用层攻击的信心水平方面是如此。

有趣的是,这两个组织对于击退此类袭击的可能性都不大可能感到悲观。 在我们的application交付状况调查中,每个群体中只有 5% 的人对其组织抵御应用层攻击的能力没有信心。 但这并不意味着他们对自己的机会感到乐观。 只有 10% 的安全专家和 13% 的高管充满信心,他们能够与坏人抗衡并在应用程序安全游戏中取得胜利。

高管与安全信心

事实上,他们的观点更偏向于实用主义(现实主义)。

百分之四十 (40%) 的安全人员持观望态度,既没有信心,也没有信心。 类似比例的高管(37%)表示同意。 如今这似乎是一个合理的立场。 你也许有信心你可以承受你所知道的目前所发生的一切。 但这就是安全的问题,未知的事物即将成为一种威胁。

那么,是什么让大约 10% 的安全专家和高管对其组织的安全态势如此有信心呢? 他们知道哪些别人可能不知道的事情?

信心 soad17 部署的服务

为了找到答案,我开始对数据进行切分。 我们在完整报告中提到,部署 Web应用防火墙和 DDoS 防护(程度较小)似乎有助于提高受访者抵御应用层攻击的信心水平。 但当然,这并不是仅有的两项可用的安全服务;我们目前正在追踪其中八项。

因此,似乎可以合理地假设其他安全应用服务可能会对人们对其组织的安全态势的信心产生影响。 快速深入研究数据表明情况可能确实如此。

对于我们正在跟踪的八种安全服务,我们发现最有信心的人部署的服务比例更高。 每个服务的部署状态和置信度差异通常很大。 平均而言,信心最低的受访者的应用安全服务部署状态总体下降了 24%。 安全服务减少,信心降低。 巧合吗? 我不这么认为。

但仅仅部署安全服务并不能真正增强人们抵御应用层攻击的信心(或消极影响)。 如何使用这些应用服务来确保应用程序的安全也很重要。

通过信心 soad17 进行表面保护

每年我们都会询问人们如何保护应用程序。 我们确定了需要保护的三个主要攻击面:客户端、请求和响应。 这是因为每个系统在独特的时间点都提供不同的安全策略(以及服务),以更好地保护和防御应用程序及其宝贵的数据。 我们要求受访者描述他们如何一致地将安全策略应用于这三个表面:总是、从不或有时。 此时,我相信没有人会惊讶地发现,最有信心的人总是保护所有三个表面。 相反,防护性能最低的往往无法保护任何表面。 

显然,这并不是影响信心水平的唯一因素。 一小部分信心最低的人始终保护这些攻击面。 相反,一些最有信心的人从不保护这些表面。 事实上,信心最低的人有时必须保护这些表面,这是一个促成因素,但肯定不是唯一因素,否则从不保护表面和信心最低之间存在更高的相关性。 

尽管如此,超过一半的最高信心者始终保护客户端(60%)、请求(61%)和响应(57%)。

巧合吗? 我再一次不这么认为。

当然,我们无法得出安全应用服务的部署应用与置信度之间存在因果关系,但我们可以清楚地看到它们之间存在着相关性。

与较为悲观的 IT 专业人士相比,对自己抵御应用层攻击的能力最有信心的 IT 专业人士更有可能部署安全应用服务并主动保护所有三个攻击面。 如果您对于自己能否抵御明天可能发生的任何事情感到有点“无所谓”,那么需要考虑这一点。