我們?nèi)缃裆钤谝粋€與以往完全不一樣的技術(shù)世界。變化的速度實在太快，企業(yè)往往發(fā)現(xiàn)自己又落后了，面對的安全壓力遠不是幾年前可比的。這事兒不能怪任何人，但我們所用的傳統(tǒng)工具確實經(jīng)常是制造的問題比解決的多。

[[441378]]

現(xiàn)代去中心化企業(yè)的出現(xiàn)，要求采取先進、整合的方法來確保Web應(yīng)用和API安全。但正如企業(yè)戰(zhàn)略集團(ESG)新近推出的客戶調(diào)查報告所昭示的，安全方法的轉(zhuǎn)變并不容易。事實上，通過對北美、歐洲和亞太地區(qū)及日本的500家企業(yè)進行問卷調(diào)查，ESG發(fā)現(xiàn)，企業(yè)現(xiàn)代化快速鋪開，安全卻落下了。

四分之三的受訪企業(yè)采用至少五款Web應(yīng)用和API工具，而且很多企業(yè)使用的此類工具遠不止這個數(shù)。平均而言，受訪企業(yè)在Web應(yīng)用和API安全方面每年要在11款不同工具上花費260萬美元。然而，很遺憾，這不過是浪費金錢而已。

工具膨脹

企業(yè)使用那么多工具是寄希望于多款工具可以買來加強版安全防護?？上?，結(jié)果往往事與愿違。企業(yè)不僅難以在應(yīng)用和安全所有者之間充分協(xié)調(diào)各項任務(wù)，還面臨缺乏API保護、可見性差和難以跨多個工具關(guān)聯(lián)數(shù)據(jù)的問題。

ESG調(diào)查研究報告中的重要數(shù)據(jù)：

• 受訪企業(yè)報告稱，自家Web應(yīng)用和API安全工具平均每天發(fā)出53個警報。
• 近半數(shù)警報都是誤報，90%的受訪企業(yè)認為這是個問題。
• 75%的受訪企業(yè)在誤報上花費的時間等于或多于處理實際攻擊的時間。
• 82%的受訪企業(yè)在上一年被Web應(yīng)用和API攻擊成功侵害。
• 64%的受訪企業(yè)希望絕大多數(shù)或全部應(yīng)用都使用API，但也越來越擔心瞄準這些端點的漏洞、惡意軟件和數(shù)據(jù)滲漏。

這并不意味著放棄進步，而是提醒我們需要修正進步路線。

漫漫曲折路

Web應(yīng)用和API安全問題不是一天造成的。企業(yè)添加了一系列安全工具，本是為了更好地保護自己的Web應(yīng)用程序和API。但在很多情況下，這種老舊工具現(xiàn)在通常被視為技術(shù)債務(wù)。

現(xiàn)代安全工具必須有效整合進現(xiàn)代技術(shù)棧里，并與DevOps工具鏈中其他工具配合，才能實現(xiàn)公司里任何人都能利用所產(chǎn)生的數(shù)據(jù)，體現(xiàn)出安全產(chǎn)品真正的價值。

以往，安全團隊利用影響力單方面減緩或停止他們認為并非萬無一失的項目。如今在更為復(fù)雜的組織環(huán)境中運作，他們就只是要求在產(chǎn)品推出前確保全面審查過各項安全考慮了。

現(xiàn)代企業(yè)中，不同團隊紛紛將自己的基礎(chǔ)設(shè)施旋上云、Kubernetes、無服務(wù)器或邊緣環(huán)境。這一新情況要求你必須能夠?qū)踩夹g(shù)嵌入整合了一系列計算方法的架構(gòu)。如今，安全棧必須插入公司Slack、Teams和SIEM應(yīng)用，這樣技術(shù)部門才能夠自行獲得工具價值而無需全面了解工具詳情。

重新思考工具策略

企業(yè)正走在數(shù)字化轉(zhuǎn)型路上，很快就不得不應(yīng)對這一問題。隨著新技術(shù)的引入，轉(zhuǎn)變速度呈指數(shù)級增長態(tài)勢。而且速度不會放緩。

安全需要存在于應(yīng)用和API所在的任何地方，且企業(yè)不能依賴無法適應(yīng)中心化架構(gòu)的老舊工具。現(xiàn)代世界，你應(yīng)該保護好API和應(yīng)用，無論它們是在云端還是在邊緣。

從業(yè)者需要整合進開發(fā)工具鏈的技術(shù)。架構(gòu)不僅要能夠兼容所有老舊應(yīng)用，還要能夠容納公司里其他更為先進的API和應(yīng)用。別以為能夠依靠僅符合當代開發(fā)計劃的架構(gòu)湊合。想要順利數(shù)字化轉(zhuǎn)型，就必須采用能夠適應(yīng)公司發(fā)展的架構(gòu)。

最重要的是，成功實施數(shù)字化轉(zhuǎn)型的企業(yè)發(fā)現(xiàn)，安全應(yīng)引領(lǐng)轉(zhuǎn)型而非試圖拖慢轉(zhuǎn)型。