我們?nèi)缃裆钤谝粋€(gè)與以往完全不一樣的技術(shù)世界。變化的速度實(shí)在太快，企業(yè)往往發(fā)現(xiàn)自己又落后了，面對的安全壓力遠(yuǎn)不是幾年前可比的。這事兒不能怪任何人，但我們所用的傳統(tǒng)工具確實(shí)經(jīng)常是制造的問題比解決的多。

[[441378]]

現(xiàn)代去中心化企業(yè)的出現(xiàn)，要求采取先進(jìn)、整合的方法來確保Web應(yīng)用和API安全。但正如企業(yè)戰(zhàn)略集團(tuán)(ESG)新近推出的客戶調(diào)查報(bào)告所昭示的，安全方法的轉(zhuǎn)變并不容易。事實(shí)上，通過對北美、歐洲和亞太地區(qū)及日本的500家企業(yè)進(jìn)行問卷調(diào)查，ESG發(fā)現(xiàn)，企業(yè)現(xiàn)代化快速鋪開，安全卻落下了。

四分之三的受訪企業(yè)采用至少五款Web應(yīng)用和API工具，而且很多企業(yè)使用的此類工具遠(yuǎn)不止這個(gè)數(shù)。平均而言，受訪企業(yè)在Web應(yīng)用和API安全方面每年要在11款不同工具上花費(fèi)260萬美元。然而，很遺憾，這不過是浪費(fèi)金錢而已。

工具膨脹

企業(yè)使用那么多工具是寄希望于多款工具可以買來加強(qiáng)版安全防護(hù)。可惜，結(jié)果往往事與愿違。企業(yè)不僅難以在應(yīng)用和安全所有者之間充分協(xié)調(diào)各項(xiàng)任務(wù)，還面臨缺乏API保護(hù)、可見性差和難以跨多個(gè)工具關(guān)聯(lián)數(shù)據(jù)的問題。

ESG調(diào)查研究報(bào)告中的重要數(shù)據(jù)：

• 受訪企業(yè)報(bào)告稱，自家Web應(yīng)用和API安全工具平均每天發(fā)出53個(gè)警報(bào)。
• 近半數(shù)警報(bào)都是誤報(bào)，90%的受訪企業(yè)認(rèn)為這是個(gè)問題。
• 75%的受訪企業(yè)在誤報(bào)上花費(fèi)的時(shí)間等于或多于處理實(shí)際攻擊的時(shí)間。
• 82%的受訪企業(yè)在上一年被Web應(yīng)用和API攻擊成功侵害。
• 64%的受訪企業(yè)希望絕大多數(shù)或全部應(yīng)用都使用API，但也越來越擔(dān)心瞄準(zhǔn)這些端點(diǎn)的漏洞、惡意軟件和數(shù)據(jù)滲漏。

這并不意味著放棄進(jìn)步，而是提醒我們需要修正進(jìn)步路線。

漫漫曲折路

Web應(yīng)用和API安全問題不是一天造成的。企業(yè)添加了一系列安全工具，本是為了更好地保護(hù)自己的Web應(yīng)用程序和API。但在很多情況下，這種老舊工具現(xiàn)在通常被視為技術(shù)債務(wù)。

現(xiàn)代安全工具必須有效整合進(jìn)現(xiàn)代技術(shù)棧里，并與DevOps工具鏈中其他工具配合，才能實(shí)現(xiàn)公司里任何人都能利用所產(chǎn)生的數(shù)據(jù)，體現(xiàn)出安全產(chǎn)品真正的價(jià)值。

以往，安全團(tuán)隊(duì)利用影響力單方面減緩或停止他們認(rèn)為并非萬無一失的項(xiàng)目。如今在更為復(fù)雜的組織環(huán)境中運(yùn)作，他們就只是要求在產(chǎn)品推出前確保全面審查過各項(xiàng)安全考慮了。

現(xiàn)代企業(yè)中，不同團(tuán)隊(duì)紛紛將自己的基礎(chǔ)設(shè)施旋上云、Kubernetes、無服務(wù)器或邊緣環(huán)境。這一新情況要求你必須能夠?qū)踩夹g(shù)嵌入整合了一系列計(jì)算方法的架構(gòu)。如今，安全棧必須插入公司Slack、Teams和SIEM應(yīng)用，這樣技術(shù)部門才能夠自行獲得工具價(jià)值而無需全面了解工具詳情。

重新思考工具策略

企業(yè)正走在數(shù)字化轉(zhuǎn)型路上，很快就不得不應(yīng)對這一問題。隨著新技術(shù)的引入，轉(zhuǎn)變速度呈指數(shù)級增長態(tài)勢。而且速度不會放緩。

安全需要存在于應(yīng)用和API所在的任何地方，且企業(yè)不能依賴無法適應(yīng)中心化架構(gòu)的老舊工具。現(xiàn)代世界，你應(yīng)該保護(hù)好API和應(yīng)用，無論它們是在云端還是在邊緣。

從業(yè)者需要整合進(jìn)開發(fā)工具鏈的技術(shù)。架構(gòu)不僅要能夠兼容所有老舊應(yīng)用，還要能夠容納公司里其他更為先進(jìn)的API和應(yīng)用。別以為能夠依靠僅符合當(dāng)代開發(fā)計(jì)劃的架構(gòu)湊合。想要順利數(shù)字化轉(zhuǎn)型，就必須采用能夠適應(yīng)公司發(fā)展的架構(gòu)。

最重要的是，成功實(shí)施數(shù)字化轉(zhuǎn)型的企業(yè)發(fā)現(xiàn)，安全應(yīng)引領(lǐng)轉(zhuǎn)型而非試圖拖慢轉(zhuǎn)型。