安全測(cè)試與漏洞管理領(lǐng)域各大發(fā)展趨勢(shì)概述
盡管對(duì)于系統(tǒng)及數(shù)據(jù)的保護(hù)工作已經(jīng)相當(dāng)重視,但大多數(shù)企業(yè)仍然未能順利執(zhí)行經(jīng)常性安全測(cè)試。根據(jù)最近進(jìn)行的一輪相關(guān)調(diào)查,雖然95%的受訪者曾經(jīng)遭遇到已被明確報(bào)道的十余種常見安全漏洞之一,但仍有五分之一的企業(yè)承認(rèn)其從未進(jìn)行過任何安全測(cè)試工作。
本次發(fā)現(xiàn)結(jié)果是基于Osterman Research公司對(duì)126名安全專家進(jìn)行的調(diào)查,且各位受訪者皆了解或者負(fù)責(zé)企業(yè)之內(nèi)的安全測(cè)試工作。
關(guān)鍵性發(fā)現(xiàn)
大多數(shù)企業(yè)對(duì)待安全測(cè)試的態(tài)度并不積極– 只有不到四分之一企業(yè)認(rèn)為自身在安全測(cè)試方面“非常積極”,不過有一半受訪者認(rèn)為其所在企業(yè)“較為積極”。然而,近三分之一企業(yè)認(rèn)為其在安全測(cè)試工作上“較為”甚至“非常”不積極,或者干脆表示“并不存在”安全測(cè)試流程。
多數(shù)企業(yè)并未執(zhí)行安全測(cè)試– 五分之一企業(yè)在過去六個(gè)月中從未執(zhí)行過安全測(cè)試。而在曾在過去半年內(nèi)執(zhí)行過安全測(cè)試的企業(yè)中,有66%以每月或者更低頻率執(zhí)行此類工作,而大多數(shù)并沒有穩(wěn) 定的安全測(cè)試執(zhí)行周期。大部分企業(yè)會(huì)結(jié)合內(nèi)部資源與第三方測(cè)試服務(wù)共同完成安全測(cè)試,不過仍有五分之二企業(yè)僅依靠?jī)?nèi)部資源進(jìn)行安全測(cè)試管理。
大多數(shù)企業(yè)發(fā)現(xiàn)安全測(cè)試是一項(xiàng)極具價(jià)值的最佳實(shí)踐– 盡管多數(shù)企業(yè)并未執(zhí)行安全測(cè)試,但有三分之二廠商認(rèn)為安全測(cè)試是一項(xiàng)極具價(jià)值的最佳實(shí)踐。
安全測(cè)試與審查頻度過低,某些企業(yè)甚至從未進(jìn)行過安全測(cè)試– 安全測(cè)試與測(cè)試審查工作頻度過低:只有5%的企業(yè)會(huì)每天執(zhí)行安全測(cè)試審查以評(píng)估安全漏洞,另有24%以每周或者每周多次方式執(zhí)行此類工作。與此同 時(shí),25%的受訪企業(yè)每季度或者每年執(zhí)行此類工作,而有20%企業(yè)僅在必要時(shí)執(zhí)行測(cè)試審查,這意味著其余時(shí)間內(nèi)其只能依靠猜測(cè)來了解自身系統(tǒng)的安全狀況。
安全技能短缺與多種測(cè)試挑戰(zhàn)– 在本次調(diào)查中,最為常見的安全測(cè)試挑戰(zhàn)包括人手不足、無(wú)暇執(zhí)行安全測(cè)試以及缺乏相關(guān)技能以支持定期測(cè)試。
超過半數(shù)企業(yè)正逐步引入第三方協(xié)助其進(jìn)行安全測(cè)試– 為了解決上述問題,相當(dāng)一部分受訪企業(yè)開始從第三方獲取幫助,例如托管安全服務(wù)供應(yīng)商,旨在由其負(fù)責(zé)執(zhí)行安全測(cè)試。五分之三的受訪企業(yè)已經(jīng)開始與第三方達(dá) 到安全測(cè)試合作,而另外21%企業(yè)則計(jì)劃在明年之內(nèi)完成這項(xiàng)工作。只有9%的企業(yè)從未計(jì)劃利用第三方提供的安全測(cè)試服務(wù)。
沒人能夠完全不受網(wǎng)絡(luò)攻擊的影響– 95%的調(diào)查受訪者報(bào)告稱,其曾經(jīng)遭遇過調(diào)查中所列出的十余種常見安全問題當(dāng)中的一種。
“以影子IT、移動(dòng)以及物聯(lián)網(wǎng)為代表的新興趨勢(shì)意味著定期安全測(cè)試正呈現(xiàn)出史無(wú)前例的重要意義,”Trustwave公司SpiderLabs主任 Kevin Overcash指出。“其中包括自動(dòng)化安全掃描,旨在幫助企業(yè)發(fā)現(xiàn)潛在安全漏洞以及薄弱配置環(huán)節(jié); 外加深度滲透測(cè)試,旨在站在與犯罪分子相同的立場(chǎng)尋求漏洞利用可能性。”
“這份報(bào)告應(yīng)該向企業(yè)及政府機(jī)構(gòu)敲響了一記警鐘,提醒其應(yīng)當(dāng)盡快利 用新的安全漏洞測(cè)試策略以實(shí)現(xiàn)更理想的數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)與應(yīng)用強(qiáng)化效果,從而對(duì)抗各類數(shù)據(jù)竊取與泄露行為,”Osterman Research公司的Michael Osterman解釋稱。“企業(yè)需要著眼于更為綜合的安全測(cè)試機(jī)制并更為頻繁地加以執(zhí)行。越來越多的企業(yè)亦開始向這一領(lǐng)域的托管安全服務(wù)供應(yīng)商尋求幫助。”
