98%的企业将Web抓取看做重大威胁

在过去的一年里，各种数据泄露事件频繁出现在报纸上，引入GDPR，出现最新的应用开发架构和框架，为网络安全问题提出了新的挑战。因此，Radware在最新报告中公布了应用安全现状。这项针对高管和IT专业人士的全球调查，对威胁、担忧和应用安全策略提出了深刻的看法。高管们喜忧参半，但对Radware2018年Web应用安全报告有很高的信心。

公司怎样发现数据泄露，你知道吗？

跨国公司将密切关注他们收集和共享的数据类型。但是，几乎所有其他公司(46%)都表示，他们遭受了数据泄露。公司平均每年都会遭受16.5次数据泄露。大多数公司(85%)需要几个小时到几天才能发现数据泄露。

在Radware研究的受访者看来，数据泄露是最难检测和缓解的攻击。Radware研究表明，如果企业发现异常检测工具/SIEM、非正常操作，如Darknet监控服务、公开泄露信息、索要赎金等，表明数据被泄露。

受访者表示，他们对各种应用安全挑战的常见趋势充满信心，包括数据泄露、机器人程序管理、ddos缓解、API安全和DevSecOps。90%的受访者表示，他们的安全模型可以有效缓解Web应用攻击。应用攻击记录很高，敏感数据的共享比以往任何时候都多。那么，高管和IT专业人士如何才能对自己的应用安全有如此大的信心呢？

当前形势与防护策略相矛盾

Radware：你的应用安全吗？

为了更全面地理解，Radware研究了当前的威胁形势和企业目前采取的保护策略。立即得到了一些矛盾的六个结果。

(1)90%的企业受到应用程序的攻击；

三分之一的企业与第三方共享敏感数据；

(3)33%的企业允许第三方通过API创建/修改/删除数据；

(4)67%的企业认为黑客可以进入企业网络；

对于IP知识产权，89%的企业将Web抓取作为重大威胁；

(6)83%的企业将通过奖金计划来发现遗漏的漏洞。

许多对应用服务的威胁没有得到很好的解决，这给传统的安全方法带来了挑战。与此同时，依靠多项服务进行大量集成的新框架和架构的采用增加了复杂性和攻击覆盖面。

目前的威胁现状，黑客持续注入故有技术。

Radware：你的应用安全吗？

OWASP在去年11月发布了十大新的Web应用漏洞列表。黑客继续使用注入、XSS和CSRFF。、RFI/LFI、对话劫持等技术利用这些漏洞，获得未经授权的敏感信息访问。因为所有的攻击都来自可信的来源，比如CDN。、加密流量或系统API和集成服务，因此保护措施变得越来越复杂。机器人程序就像一个真实的用户，可以绕过CAPTCH。、基于IP检测措施等质询机制，使得更难保护和优化用户体验。

Web应用安全解决方案必须更智能，可以解决广泛的漏洞利用场景。除了保护应用程序免受这些常见漏洞的攻击外，还必须保护API，缓解DoS攻击，管理机器人程序流量，区分合法的机器人程序(如搜索引擎)、不良机器人程序、网络抓取器等。

●DDoS攻击

63%的企业遭受了对应用程序的拒绝服务攻击。DoS攻击使应用程序无法运行，因为它耗尽了应用资源。缓冲区溢出和HTTP洪水是最常见的DoS攻击类型，在亚太区更为常见。36%的企业认为，HTTP/L7层DDoS是最难缓解的攻击。一半的企业采用基于速度的方法(例如，限制来自某个来源的请求数量或简单地购买基于速度的ddos保护解决方案)。一旦超过门槛，这些方法就会失效，真正的用户就无法连接。

Radware：你的应用安全吗？

●API攻击

API简化了应用服务的结构和交付，使得数字交互成为可能。不幸的是，API也增加了更多的风险和漏洞，成为黑客入侵网络的后门。数据可以通过API在HTTP中交换，双方可以接收、处理和共享信息。理论上，第三方可以插入、修改、删除和搜索应用程序中的内容。这也可以作为攻击入口:62%的受访者不会加密API数据，70%的受访者不需要身份验证，33%的受访者允许第三方进行操作。(GET/POST/PUT/DELETE)。

对API的攻击：39%是非法访问，32%是暴力攻击，29%是不规则JSON/XML表达式，38%是协议攻击，31%是拒绝服务，29%是注入攻击。

●攻击机器人程序

良性机器人程序和不良机器人程序的流量正在增加。企业被迫增加网络容量，需要能够准确区分敌人和朋友，从而维护客户体验和安全。令人惊讶的是，98%的企业声称可以这样区分。然而，98%的企业也将网络抓取视为一个重大威胁。在过去的一年里，尽管企业采取了各种方法来克服这一挑战——CAPTCHA、会话终止，基于IP测试，甚至购买专门的防机器人程序解决方案，但仍有87%的企业受到攻击。Web抓取六个影响:收集价格信息、复制网站内容、窃取知识产权、排队库存/被机器人程序控制、买断库存等。

攻击成功后，声誉受损，客户赔偿，法律行动(在EMEA地区更为常见)、顾客流失(在亚太区更常见)、股价下跌(在AMER地区更常见)、负面影响，如高管失业，很快就会出现，恢复企业声誉的过程很长，也不一定有效。大约一半的人承认他们遭受了这种影响。

保护新兴应用开发框架

在需要修改应用时，应用数量的快速增长和多个环境的分布要求可以调整。在所有环境中几乎不可能高效部署和维护相同的安全策略。Radware的研究表明，大约60%的应用程序每周都会发生变化。安全团队如何与时俱进？

Radware：你的应用安全吗？

虽然93%的企业使用Web应用防火墙(WAF)，但是，只有30%的企业采用WAF来整合主动和被动的安全模型，可以实现有效的应用保护。DevOps采用的技术包括63%DevOps和自动工具，48%的容器(60%的安排)、无服务器/44%/FaaS、微服务器的37%。一半的受访者认为数据保护是使用微服务的最大挑战，其次是可用性保证、战略执行、身份验证和可见性。

企业是否充满信心？是的。这是一种错误的安全感吗？是的。随着攻击的不断演变，安全措施也不是万无一失的。安全工具和流程的适当应用可能会为企业提供一种控制能力，但迟早会被破坏或绕过。企业面临的另一个问题是高管们是否完全意识到了日常事件。这是理所当然的。他们希望内部团队负责应用安全和解决问题，但他们对企业应用安全策略的有效性和实际暴露风险的感知似乎脱节了。