Security Compass發(fā)布的一份報(bào)告針對(duì)大中型企業(yè)的威脅建?，F(xiàn)狀做了調(diào)查，調(diào)查特別關(guān)注了企業(yè)為構(gòu)建和部署應(yīng)用程序擴(kuò)展威脅建模所面臨的挑戰(zhàn)。

[[411038]]

威脅建模挑戰(zhàn)

該研究發(fā)現(xiàn)最緊迫的問(wèn)題是企業(yè)構(gòu)建應(yīng)用程序威脅建模的優(yōu)先級(jí)越來(lái)越高，這與大部分工作越來(lái)越自動(dòng)化的信念相吻合。傳統(tǒng)的威脅建模實(shí)踐歷來(lái)都很緩慢，阻礙了組織將應(yīng)用程序快速推向市場(chǎng)的目標(biāo)。

此外，超過(guò)一半的調(diào)查者表示，他們?cè)趪L試將這一基本流程集成到現(xiàn)有的技術(shù)中時(shí)出現(xiàn)了問(wèn)題，這導(dǎo)致調(diào)查企業(yè)中僅有不到一半的企業(yè)對(duì)關(guān)鍵網(wǎng)絡(luò)安全威脅具有充足準(zhǔn)備。

威脅建模顯然需要更高的可擴(kuò)展性和自動(dòng)化，以平衡快速軟件開(kāi)發(fā)和安全軟件開(kāi)發(fā)。

威脅建模的現(xiàn)狀

只有25%的調(diào)查參與企業(yè)表示他們?cè)谲浖_(kāi)發(fā)早期的需求收集和設(shè)計(jì)階段進(jìn)行了威脅建模，然后才進(jìn)行應(yīng)用程序開(kāi)發(fā)。

不到10%的受訪(fǎng)企業(yè)表示，他們對(duì)開(kāi)發(fā)的90%以上的應(yīng)用程序進(jìn)行了威脅建模。最常見(jiàn)的是，企業(yè)會(huì)測(cè)試50~74%的應(yīng)用程序。

缺乏自動(dòng)化

超過(guò)60%的企業(yè)認(rèn)為其自身的威脅建模所有方面都可以完全自動(dòng)化，但實(shí)際上只有28%達(dá)到了該閾值。

超過(guò)一半的企業(yè)在自動(dòng)化威脅建?；顒?dòng)并將其與其他技術(shù)集成方面面臨挑戰(zhàn)，41%的受訪(fǎng)者表示這一工作需要很長(zhǎng)時(shí)間。

COVID-19和供應(yīng)鏈脆弱性的影響

由于COVID-19，超過(guò)80%的企業(yè)不得不對(duì)其網(wǎng)絡(luò)安全方法進(jìn)行循序漸進(jìn)的轉(zhuǎn)變。

超過(guò)84%的企業(yè)調(diào)查稱(chēng)它們的供應(yīng)鏈可能特別脆弱，并因此進(jìn)行了網(wǎng)絡(luò)安全策略更改。然而，只有31%的企業(yè)對(duì)他們開(kāi)發(fā)的與其供應(yīng)鏈相關(guān)的應(yīng)用程序進(jìn)行了威脅建模。

Security Compass首席執(zhí)行官Rohit Sethi表示：“軟件幾乎被用于日常生活的方方面面，因此企業(yè)必須配備必要的資源，以便對(duì)其開(kāi)發(fā)和部署的應(yīng)用程序進(jìn)行及時(shí)的威脅建模。威脅建?？纱_保在漏洞成為問(wèn)題之前就被識(shí)別和修復(fù)。”

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文