Contrast Security表示，應(yīng)用層攻擊已成為對手入侵和攻陷組織機(jī)構(gòu)最常用且后果最嚴(yán)重的方法之一，這些攻擊針對的是為應(yīng)用程序提供動力的定制代碼、API和邏輯，常常能繞過端點(diǎn)檢測與響應(yīng)(EDR)等檢測工具以及Web應(yīng)用防火墻(WAF)等基于網(wǎng)絡(luò)的防御措施。

企業(yè)安全風(fēng)險在于應(yīng)用層

Verizon(DBIR 2025)和谷歌Mandiant(M-Trends 2025)近期發(fā)布的報(bào)告證實(shí)了許多安全負(fù)責(zé)人早已懷疑的情況：應(yīng)用層的組件是企業(yè)中受攻擊最多且防護(hù)最薄弱的環(huán)節(jié)之一，這一趨勢包括黑客對云環(huán)境的日益關(guān)注，云環(huán)境高度依賴應(yīng)用層服務(wù)和接口，如存儲集中權(quán)限的基于云的單點(diǎn)登錄(SSO)門戶等關(guān)鍵組件。

但這些報(bào)告還提出了一個更重大的問題：我們每天構(gòu)建和運(yùn)行的應(yīng)用程序內(nèi)部究竟發(fā)生了什么?

Contrast的報(bào)告證實(shí)，應(yīng)用程序和API是攻擊者首選的戰(zhàn)場。

Contrast Security的CTO兼創(chuàng)始人杰夫·威廉姆斯(Jeff Williams)表示：“我們看到應(yīng)用程序遭受攻擊的方式發(fā)生了根本性轉(zhuǎn)變。AI使對手比以往任何時候都更容易大規(guī)模發(fā)動有針對性的、可行的攻擊，而像WAF、靜態(tài)應(yīng)用程序安全測試(SAST)和EDR這樣的工具，在應(yīng)用程序運(yùn)行時，仍然無法察覺其內(nèi)部發(fā)生的情況。”

應(yīng)用層攻擊數(shù)量增多、復(fù)雜度提升

針對應(yīng)用層的攻擊數(shù)量和種類大幅增加，這一轉(zhuǎn)變既反映了人們對定制軟件和API的依賴程度日益加深，也反映了對手策略的演變，他們已經(jīng)摸清了防御的薄弱環(huán)節(jié)。安全運(yùn)營中心(SOC)團(tuán)隊(duì)面臨的主要挑戰(zhàn)是，僅靠網(wǎng)絡(luò)或端點(diǎn)信號無法實(shí)現(xiàn)應(yīng)用層的威脅檢測，要發(fā)現(xiàn)深藏在應(yīng)用棧中的攻擊，需要更深入的可見性。

平均而言，應(yīng)用程序包含30個嚴(yán)重漏洞，AI生成的代碼使問題加劇，第三方庫則加速了風(fēng)險。

平均而言，應(yīng)用程序每月新增17個漏洞，但開發(fā)人員僅修復(fù)6個，黑客在短短5天內(nèi)就開始利用新漏洞，而修復(fù)最嚴(yán)重的漏洞也需要約84天。

應(yīng)用程序遭受攻擊的頻率比以往任何時候都高，平均每3分鐘就有一個應(yīng)用程序成為攻擊目標(biāo)，每個月，平均每個應(yīng)用程序會遭遇81次繞過其他防御的已確認(rèn)攻擊，這些攻擊大多涉及不可信的反序列化、方法篡改、對象圖導(dǎo)航語言(OGNL)注入和類似技術(shù)，具體因行業(yè)和技術(shù)棧而異。

團(tuán)隊(duì)轉(zhuǎn)向運(yùn)行時保護(hù)和應(yīng)用可見性

一些以前在AI出現(xiàn)前難以實(shí)施的攻擊技術(shù)，如今卻構(gòu)成了大部分風(fēng)險，關(guān)注當(dāng)前可利用的漏洞，有助于團(tuán)隊(duì)重新掌控局面。

為了應(yīng)對日益增長的風(fēng)險，安全團(tuán)隊(duì)正在調(diào)整策略，以解決應(yīng)用層的可見性差距問題，這包括超越被動防御，采用運(yùn)行時保護(hù)模型，從運(yùn)行中的應(yīng)用程序內(nèi)部檢測并阻止攻擊。

報(bào)告結(jié)果顯示，安全運(yùn)營(SecOps)、應(yīng)用安全(AppSec)和開發(fā)團(tuán)隊(duì)之間共享遙測數(shù)據(jù)，有助于企業(yè)重點(diǎn)關(guān)注對現(xiàn)實(shí)世界構(gòu)成最大風(fēng)險的威脅和漏洞，這種統(tǒng)一、基于上下文的方法，能夠加快響應(yīng)速度，實(shí)現(xiàn)更有針對性的修復(fù)，并減少安全工作流程中的告警疲勞。