就安全而言，不存在不重要的应用程序

据说，在温泉关战役中，列奥尼达和他率领的三百名斯巴达人遭到失败，并不是因为预料中的正面攻击。 不，这是因为波斯人偷偷绕过他们，并利用一条狭窄的山羊小道从侧翼包抄了他们，这条小道为他们在斯巴达后方保卫温泉门* 的防线提供了立足点。

或许，没有保护好羊肠小道这种不太明显的进攻路线是一个战略错误。 事后看来一切都很清楚，我们现在可以看到，未能守住每一个潜在的入口点可能会带来毁灭性的后果。

那么，我们从历史中吸取了教训吗？还是我们注定要重蹈覆辙？

根据我们 2018 年application交付状况调查的结果，我们正在尽力重复这一调查。

该图表显示，2％的组织正在使用 WAF 来保护……什么都没有。 他们的任何应用均未受到该技术的保护。 相反，13% 的组织使用 WAF 保护其所有应用程序 (100%)。

大部分组织处于这两个水平之间，其中 34% 的组织仅保护其四分之一或更少 (1-24%) 的应用。 这些应用程序可能类似于 Hot Gates。 它们是最显眼的，是你推广和宣传的对象。 它们是流量最大的，从逻辑上讲，也是最有可能的攻击路线。

其余的都是山羊小道。 通往数据中心的小路狭窄且杂草丛生，很少使用，而且最不可能受到攻击。 或者你希望如此。

作为一个行业，我们倾向于用“关键”应用来谈论。 这些是企业每天每分钟运营所需的应用程序。 这就是您的 CRM、您的 SFA、您的在线商店以及您的合作伙伴用来给您带来业务的 API。 这些都是我们怀着崇敬之情谈论的。 您需要保护它们免受攻击、扩展它们以满足需求并提高它们的性能，以便即使是最挑剔的消费者也会因您对用户体验的关注而感到高兴。

我们倾向于忽略“非关键”的应用。 有时，我们甚至将它们放到某个公共云中，而不考虑设置保证数据和凭据安全所需的安全检查点。

今天我要说的是，就像那条山羊小道成为进入斯巴达防御工事的关键切入点一样，所有那些“其他”应用也同样如此。 如果它们连接到互联网（而且通过连接到网络，它们很可能确实如此），那么它们就是攻击者的潜在入口点。 如果它们利用与您的“关键”应用程序相同的平台和协议（而且它们很可能确实如此），那么它们对每个应用都构成风险，因为它们具有相同的漏洞。

只需通过任何应用进入网络的一条狭窄路径，就能将整个组织（企业）置于危险之中。 在一个应用或服务器上站稳脚跟将为攻击者开辟大量的探索途径。 从凭证到连接，数据中心内部（无论是公共云还是内部部署）的单点攻击比我们想象的要大得多。

在谈到安全时，没有理由忽视“非关键”应用，事实上有数百甚至数千个充分的理由去关注它们并提供 WAF 所提供的保护。 员工凭证。 个人资料。 通向其他更有趣的应用和服务的路线。

当谈到安全时，不存在不关键的应用程序。

请不要因为选择热门而忽视山羊小道。

*是的，波斯人无论如何都有可能获胜，但现在我们永远不会知道，不是吗？