专家指出,随着远程工作的增加,公司面临更大网络安全威胁。由于缺乏对软件供应链的有效管理,导致易受攻击的组件被广泛使用。此外,API数量激增也使得攻击面增大。企业需采取措施改善应用程序安全性。
研究人员认为,各种各样的举措,比如内存安全语言和软件材料清单。承诺了更安全的应用程序,但持续的改进需要供应商做得更好。
专家表示:“我们能建立一个可防御的互联网吗?为了在2023年提高互联网及其支持的云应用程序的安全性,我们需要做得更好。”
在2022年初,各公司争相寻找并缓解许多应用程序中广泛存在的组件Log4j库中的一个关键漏洞。接下来的12个月Log4Shell的问题突出表明,大多数公司并不了解构成其面向互联网的应用程序的所有软件组件,没有定期检查配置的流程,并且未能找到方法来集成和激励开发人员的安全性。
软件安全公司Sonatype首席技术官布莱恩•福克斯(Brian Fox)表示,随着疫情后远程工作的增多,许多公司已经失去了锁定应用程序的能力,远程员工和消费者更容易受到来自各个角落的网络攻击。
他说:“当你有实体周边安全时(基本上每个人都去办公室)周边防御和传统行为是有效的,但当你的员工越来越多地在家里或咖啡店工作时,你已经剥夺了那些保护和防御。”
随着2022年的临近,企业将继续与不安全的应用程序、易受攻击的软件组件以及云服务带来的巨大攻击面积作斗争。
软件供应链的漏洞依然存在。尽管软件供应链攻击在2021年增长了633%,但公司仍然没有适当的流程来进行简单的安全检查,例如清除已知的易受攻击的依赖项。例如,今年3月,Sonatype发现下载的log4j组件中有41%是易受攻击的版本。
与此同时,越来越多的公司将基础设施转移到云端,并采用更多的Web应用程序,API的使用量增加了两倍,平均每家公司使用15600个API, API流量在去年翻了两番。
Akamai安全技术和战略总监托尼•劳罗(Tony Lauro)表示,这种日益模糊的基础设施使用户的易犯错误成为企业基础设施的自然攻击载体。
他表示:“不幸的事实是,无论企业内部发生了什么,无论你把它锁得多好,保护得多好,都存在攻击用户的机会。有了勒索软件、恶意软件、网络钓鱼和诈骗,即使后端是安全的,他们也可以利用用户。”
为了证明过去30年网络安全进展甚微的例子,公司只需看看网络钓鱼。社交工程技术的历史几乎和电子邮件一样长,但绝大多数公司(83%)在2022年都成功遭受了基于电子邮件的网络钓鱼攻击。网络钓鱼很容易导致证书获取,然后危及Web应用程序和云基础设施。
西班牙桑坦德银行(Banco Santander)网络安全研究全球主管丹尼尔•卡斯伯特(Daniel Cuthbert)在本月举行的黑帽欧洲(Black Hat Europe)安全会议上表示,这种简单的技术可以绕过多层应用安全,让攻击者访问敏感数据、系统和网络。
扫一扫
1684
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
