當今世界，網絡安全狀況不斷變化，新型威脅層出不窮，所有企業(yè)都應將安全視為頭等大事。業(yè)務應用越來越為網絡犯罪分子所垂涎，其抵御攻擊的能力成為了運營的重要組成部分。正如網絡罪犯類型繁多、網絡攻擊花樣百出，企業(yè)可以選擇的應用安全增強方式也多種多樣。

為摸清應用安全現(xiàn)狀，Cybersecurity Insiders與HelpSystems旗下Beyond Security合作，深入研究了網絡安全趨勢。研究報告基于對網絡安全專業(yè)人員的全面調查，深入分析了當前的趨勢、挑戰(zhàn)和應用安全解決方案。為創(chuàng)建平衡的代表性樣本，所選受訪者的職級、部門、所屬公司規(guī)模、行業(yè)和資源各不相同。

主要關切和挑戰(zhàn)

44%的受訪者稱，企業(yè)最大的應用安全顧慮之一，是數據保護問題。此外，42%的受訪者擔憂難以跟上不斷增加的漏洞，38%關注威脅和數據泄露檢測，37%憂心云應用安全保護問題。網絡安全專業(yè)人士的其他關注重點還包括保護自己開發(fā)的應用（37%），以及抵御惡意軟件（29%）。

被問及哪些類型的應用給企業(yè)帶來的安全風險最高時，42%的受訪者提到了面向客戶的Web應用，40%則指向了老舊應用。移動應用（30%）、桌面應用（28%）和面向內部的Web應用（26%）占比稍減，但仍構成風險。

研究也努力調查了哪些潛在問題可能會阻礙企業(yè)更好地防御針對應用的攻擊。受訪企業(yè)認為，鞏固防御的主要障礙包括安全熟手短缺（39%）、員工安全意識低下（35%）和預算不足（35%），其次是部門之間缺乏協(xié)作（29%），管理支持和意識缺失（26%）。 

在滲透測試業(yè)務應用方面也表現(xiàn)出了類似的問題。被問及滲透測試面臨哪些重大挑戰(zhàn)時，25%的受訪者提到了難以招聘到技能嫻熟的員工，16%的受訪者表示測試盡可能多的應用成本太高，而13%的受訪者則表示盡可能頻繁地進行測試花費太多。此外，45%的受訪者稱，快速開發(fā)和發(fā)布新軟件的壓力導致應用開發(fā)人員忽視安全編碼實踐。 

應用攻擊：有多常見？都有哪些形式？

受訪企業(yè)中，44%經歷過數據泄露，其中僅去年一年就有20%經歷過數據泄露。雖然24%的受訪者沒有經歷過任何數據泄露，但大約32%的受訪者不確定自己過去是否經歷過應用泄露或入侵。

至于過去12個月以來針對應用的安全攻擊，31%的受訪者稱遭遇過惡意軟件攻擊，23%經歷過分布式拒絕服務（DDoS）攻擊，21%經歷了應用錯誤配置，還有20%憑證被盜。雖然主要威脅幾乎沒變，但應用攻擊的數量和風險都在上升。

企業(yè)如何抵御攻擊

絕大部分受訪企業(yè)（91%）都設置有某種專門的應用安全計劃。盡管小部分受訪企業(yè)（9%）完全依賴外包應用安全，但這些企業(yè)中有39%使用內部管理，36%采用內部和外包應用安全相組合的方式。這表明，在很大程度上，企業(yè)至少部分依靠自家網絡安全人員的技術和專業(yè)知識來保護應用安全。

想要保護業(yè)務應用，可以在開發(fā)和發(fā)布期間的某個時間點或多個時間點執(zhí)行自動測試。在自動安全測試方面，54%的受訪企業(yè)在軟件發(fā)布生命周期中進行了某種形式的自動化測試。其中，48%在軟件測試期間自動化安全測試，31%在監(jiān)測期間，29%在代碼開發(fā)期間，23%在產品發(fā)布期間。還有少部分受訪企業(yè)在運營審查（16%）和規(guī)劃（15%）期間自動化安全測試。

總的說來，調研結果顯示，企業(yè)正認真對待應用安全問題，努力保護自身應用不遭攻擊侵害。令人欣喜的是，51%的受訪者預計在未來12個月會增加應用安全預算，34%的受訪者預計其預算將保持不變。

結語

應用攻擊威脅日益嚴重，令企業(yè)深陷惡意軟件、中斷、盜竊和錯誤配置利用的風險之中。企業(yè)必須投入時間、精力和金錢來確保自身應用安全，大多數受訪企業(yè)都將應用安全視為頭等大事。

盡管企業(yè)明白應用安全的重要性，也愿意努力保護應用安全，但仍有一些障礙在阻礙企業(yè)實踐應用安全防護。最大的障礙就是人手短缺、員工安全意識匱乏，以及沒有合適的預算來保護應用。不過，超過一半的受訪者預計來年應用安全的預算會增加。