Radware:近一半企业过去一年都遭受数据泄露

2017-11-30 09:48:00 作者:ym 分类 : 比特网

  日前,网络安全和应用交付解决方案提供商Radware公司最新发布了一项名为Radware研究报告:数字连接领域的Web应用安全的报告。该报告深入研究了企业如何保护Web应用的安全,确定了常见DevOps实践中显而易见的安全差距,强调了主要的攻击类型和载体,并确定了风险和需要关注的重要领域。

  该研究集中在零售、医疗和金融服务等成为目标的可能性很高的行业,揭露了机器人程序催生的Web流量的激增以及对企业应用安全的影响。事实上,机器人程序产生的流量在所有互联网流量流中所占的比例超过一半(52%)。对某些企业而言,机器人程序流量占了总体流量的75%以上。由于三分之一(33%)的企业无法区分‘健康’机器人程序和‘不良’机器人程序,因此这一发现的意义就更加重大了。

  报告还发现,将近一半(45%)的受访者在过去一年都遭受了数据泄露,68%的受访者不确定是否能够保护企业信息安全。更重要的是,企业还是会经常丢失被保护的敏感数据。事实上,52%的企业并没有检查进出API的流量,56%的企业无法在数据离开企业之后进行追踪。

  任何可以采集欧洲公民信息的企业在不久的未来都必须要满足由通用数据保护条例(GDPR)强加的严格数据隐私法。这些条例将于2018年5月生效。然而,在截止日期前不到一年的时间,68%的企业仍然不确定他们是否能及时满足这些要求。

  Radware安全解决方案副总裁Carl Herberger表示:“令人担忧的是,来自拥有数百万消费者敏感数据的企业的高管对自身安全没有信心。他们了解这些风险,但盲点仍会继续构成威胁。在企业掌握漏洞所在并采取防护措施之前,重大攻击和数据泄露事件仍将继续成为焦点。”

  Larry Ponemon博士表示:“该报告明确指出,持续交付应用服务的压力限制了DevOps在SDLC的各个阶段确保Web应用安全的能力。”

  主要调查结果包括:

  • 应用安全是事后诸葛亮。每个人都希望实现APP开发提供的持续交付模型所需的全面自动化和灵活性。目前,一半(49%)的受访者使用了持续交付的应用服务,另有21%的企业计划在未来12-24个月内采用。然而,持续交付会增加APP开发的安全挑战:62%的企业预计这会增加攻击范围,约有一半的企业表示,他们没有在持续交付过程中整合安全。

  • 机器人程序正在逐渐占据市场。现在,机器人程序成为了在线零售的支柱。零售商们会将机器人程序用于价格汇总、电子优惠券、聊天机器人等。事实上,41%的零售商表示,75%以上的流量都来自于机器人程序,而40%的零售商却仍不能区分“健康”机器人程序和“不良”机器人程序。恶意机器人程序才是真正的风险所在。Web抓取攻击会通过窃取知识产权、降低价格、在不确定的情况下持有大量库存,以及通过未授权渠道加价买光库存进行商品转售,来打击零售商。但机器人程序并不是零售商独有的问题。在医疗行业,42%的流量来自于机器人程序,只有20%的IT安全主管确信可以识别出“不良”机器人程序。

  • API安全经常会被忽略。约有60%的企业会通过API共享并使用个人身份信息、用户名/密码、付款细节、医疗记录等数据。然而,52%的企业并不会检查通过API传输的数据,51%的企业不会在整合之前执行任何安全审计或分析API漏洞。

  • 对零售商而言,假日风险很高。假日期间,零售商会面临两种截然不同但破坏力极大的威胁:中断和数据泄露。假日期间零售商会赚取大量利润,在此期间出现的Web中断可能会带来灾难性的经济后果。然而,一半以上(53%)的企业不确信是否可以为应用服务提供100%的正常运行时间。黑色星期五和网络星期一等高需求时段也会给客户数据带来麻烦:30%的零售商表示无法在这些时段保护敏感数据的安全。

  • 患者的医疗数据也面临风险。只有27%的医疗行业受访者有信心可以保护患者的医疗记录,即使将近80%的数据必须符合政府规定。修复系统对企业安全而言至关重要,他们能够缓解当前的领先威胁,但只有62%的医疗受访者对企业是否能够快速使用安全补丁并在不破坏运营的前提下进行更新信心不足或没有信心。一半以上(55%)的医疗机构表示,在数据离开公司网络之后,他们无法追踪与第三方共享的数据。医疗机构不太可能会监控可以窃取数据的Darknet,只有37%的医疗机构可以这样做,金融服务的比例为56%,零售业为48%。

  • 多个接触点意味着更高的风险。新的金融技术(如移动支付)的兴起增加了与消费者的接触机会和次数,这反过来也会增加漏洞接入点的数量,并扩大安全主管面临的风险。尽管有72%的金融服务企业会通过API共享用户名和密码,58%的企业通过API共享支付细节,51%的企业不会加密流量,这可能会将传输中的高价值数据泄露出去。

  这项调查是由Ponemon研究所代表Radware进行的,涵盖了来自六大洲的跨零售、医疗和金融服务行业的600多位首席信息安全官和其他安全领袖。

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。