传统应用安全工具对新威胁无效

点击蓝字 关注我们            ///

@GoUpSec

近日，根据Fastly和ESG对全球数百个组织的信息安全和IT专业人员的调查表明，随着云端运行的关键任务和以API为中心的应用程序的数量不断增加，人们越来越担心如何充分保护这些资产。安全产品过时、误报和无效是用户最关注的三大难题。

随着世界各地的组织面临数字化转型的任务，许多传统工具和服务不再支持数字化世界的现代需求和架构。

随着数字化转型的深入，企业对灵活性、敏捷性和速度的需求不断增加，应用程序开发和基于微服务架构的部署也不断增多，但许多组织尚未更新或升级其安全工具，而是继续依赖传统的Web应用程序和API安全工具来保护他们的业务。

“我们今天看到的最大安全挑战之一为技术正在迅速发展，以更好地满足对数字体验不断增长的需求，但保护这些技术的安全产品并没有经历同样程度的转变——并且经常侵蚀现代技术堆栈。”Fastly指出。

“安全工具应该推动创新，积极支持服务弹性，并最大限度地减少对软件交付工作流程的干扰，而不是减慢构建周期并产生脱节、不可操作或不相关的数据。”

应用安全工具失效的挑战

调查显示，如今每家企业平均使用11个Web应用和API安全工具，每年花费近300万美元。除了新架构和云环境外，组织还需要保护传统架构，因此安全性变得越来越复杂且成本更高。

传统的应用安全工具效率低下，阻碍了业务增长。当前的安全工具经常会阻止无害的业务流量，从而影响组织的底线。因此，91%的组织在日志或监控模式下运行工具，或完全关闭它们。

近一半的安全警报是误报。误报停机时间经常导致与实际攻击相似的停机时间，这表明当前的安全工具造成的问题比它们解决的问题要多。

超过一半的组织认为，他们的大部分或全部应用程序将在未来两年内使用API。尽管API实施预计会增加，但一半的组织表示Web应用程序和API安全比两年前更加困难，并表示很难在新的应用程序架构中保持足够的安全性。目前最大的难题是企业正在向公共云和以API为中心的应用程序转变，但没有现代安全解决方案来支持这些创新。

“保护企业资产、数据和用户免受网络威胁的责任不再仅仅由安全组织承担，即使威胁形势变得越来越复杂。”ESG高级分析师John Grady表示，尤其是应用程序安全是一项团队运动，需要跨组织的许多部分进行输入和跨职能协作。

“因此，安全专业人员对无法解决这些问题的传统应用程序安全解决方案的复杂和孤立性质感到沮丧。现代企业需要统一的工具和方法，以最大限度地减少公共云基础设施、基于微服务的架构和遗留应用程序之间的漏洞，同时支持各种角色。”

END