应用程序安全是2016年的主要优先级,惠普企业研究
企业应该增加他们对应用程序安全的关注 - 特别是对于移动设备 - 作为2016年的几个关键优先事项之一。
根据Hewlett Packard Enterprise Cyber 2016年,据Hewlett Packard Enterprise Cyber Cyber Risk Report称,安全专业人员还应对威胁景观,监管景观变动以及新技术的脆弱性的关注。
该报告突出了改变强度研究法规,转变政治议程和持续辩论,如隐私和安全等问题。
最重要的是,该报告突出了网络安全战斗的转变为应用程序,因为攻击者将其努力直接攻击应用程序,以访问企业数据。
安全专业人员必须调整其不仅仅是网络周边的防御方法,而且还可以在用户,应用程序和数据之间进行交互 - 无论位置或设备如何。
报告称,虽然业务和网络应用对企业构成重大风险,但移动应用呈现出现增长而独特的风险。
“移动申请威胁已成为年龄,”Hewlett Packard Enterprise的企业安全服务首席技术官Andrzej Kawalec表示。
“移动应用正在成为企业面临的最鲜明的风险之一,”他每周告诉电脑。
该报告称,移动应用程序频繁使用个人身份信息,在存储和传输私有和敏感信息的存储和传输方面的频繁漏洞。
扫描的大约75%的移动应用程序展示了至少一个关键或高度严重的安全漏洞,而35%的非移动应用程序相比。
“周围有一些非常基本的红旗是针对性的应用类型,而且围绕移动应用的越来越多的风险,”Kawalec说。
然而,公司可以使用简单,易于使用的现货产品来分析他们使用的应用程序来识别和减轻或修复漏洞。
由滥用应用程序接口(API)而引起的漏洞,通过软件互相通信,在移动应用程序中比Web应用程序更常见。与此同时,移动应用程序往往具有较少的功能来预测,检测和解决错误。
报告称,软件漏洞仍然是攻击的主要传染媒介,通过移动利用牵引。
符合2014年调查结果,2015年开发的十大漏洞不止历史,68%三年或以上。
2015年,Microsoft Windows代表了最针对性的软件平台,其中42%的前20名被发现的漏洞应用于Microsoft平台和应用程序。
该报告称,如2014年,2015年代表29%的最佳感染方法继续使用2010年STUXNET感染载体 - 微软已经修补了两次。
该报告称,2015年报告的安全漏洞数量和修补程序的污染漏洞数量较少,但由于担心未经意识的后果,所以修补了。
报告称,安全团队在企业和用户级别应用补丁,软件供应商必须更加透明地,软件供应商必须更加透明,因此用户害怕将用户担心部署它们。
“企业的补丁或应用最新软件更新的企业能力和效率继续非常差,”川尔克说。
“攻击者继续使用已经确定的漏洞,并且经过相当稳妥的漏洞,因为企业修补制度仍然未能在年复一年后解决。”
然而,Kawalec同意修补是一种挑战,随着斑块的数量继续增加,尤其对于既不良好概述其IT景观的较小和不良组织,也没有滚动贴片的单一机制。
首先,他表示,组织需要认识到修补程序是任何网络安全防御策略的重要组成部分 - 但这种漏洞通常可以通过用户身份验证在网络上或在设备上进行修复,而不是每周推出数百个修补程序。
但是,他说,这通常需要对企业及其IT遗产的深入知识,通常与具有相当成熟的安全策略的组织相关联。
其次,他表示,组织应考虑将所有修补活动交给托管安全服务提供商(MSSPS),特别是鉴于并非所有组织都有所需的时间,时间或技能的事实。
“MSSP可以采取补丁负担,因为他们为数百个组织管理修补,他们对世界各地的优先级具有更好的优先事项,他们能够向其投入更多资源,他们能够自动化补丁部署,“Kawalec说。
他说,较大的问题是,软件供应商和企业需要更好地生产通过在实施之前测试的设计和彻底的安全性的代码。
“如果您采取标准,更长的生命线,核心企业应用程序,则自然地将合适的安全标准放在适当位置,以及演变和测试您的安全假设,”他说。
根据Kawalec的说法,很多组织都被专注于加速开发生命周期,特别是在移动平台上的加速开发生命周期。
“从几个月压缩开发生命周期,有时几天通常意味着没有完成安全检查和余额,这意味着大多数移动应用程序都有严重的安全缺陷,”他说。
报告称,威胁景观,恶意软件已进入仅仅对攻击者产生的收入产生活动只是破坏性。
攻击目标也符合不断发展的企业趋势,并重点划分赚钱。
随着所连接的移动设备的数量展开,恶意软件正持有最受欢迎的移动操作平台。
“因此,我们已经看到了针对Android平台和恶意软件的威胁威胁着关注Apple设备和其他利润丰厚的区域,即使有些人则相当模糊,例如针对自动柜员机(ATM)和银行特洛伊木马的新变种,” Kawalec说。
Android威胁,恶意软件和不需要的申请的数量已经发展到每天发现的10,000多个新威胁,达到了153%的总成年增加,而Apple iOS则代表了最大的增长率,具有恶意软件样本增加超过230%。
该报告称,尽管保护努力,但ZBOT木马的变种,如ZBOT木马的变体,仍然存在问题,但该报告称,在2015年检测到超过100,000人。
恶意软件对ATM的攻击使用硬件,加载到ATM的软件,或窃取信用卡信息的组合。报告称,在某些情况下,攻击软件级别,绕过卡认证即可直接分配现金。
该报告称,兰布洛克,Cryptocker,Cryptowall,Coinvault,Bitcryptor,Torrentlocker和Teslacrypt,是一个越来越成功的攻击模型,通过加密消费者和公司用户的档案,在2015年,几个赎金瓶家庭在2015年肆虐。
报告称,增加了赎金软件攻击需要提高认识和准备,以避免丧失敏感数据的丧失,并补充说,对赎金软件的最佳保护是系统上所有重要文件的备份策略。
该报告称,在美国,欧盟和亚太地区的数据保护和隐私法规之间改变立法和造成的数据保护和隐私法规之间的差异,使企业努力保持其系统安全和合规性的企业。
“很多企业正在努力了解他们应该如何采用和解释所介绍的各种规则和法规,”Kawalec说。
“及时了解如何共享数据,隐私手段以及如何在不添加后门或弱化加密的情况下考虑所有这些东西的私密手段以及如何开发服务。”
该报告建议,组织必须紧密地遵循更改的立法活动,因为它以不同的速度移动,并维持灵活的安全方法,建议。
“与安全研究界非常敏感的立法有关的另一个地区是,影响网络安全研究的许多新的和拟议的规则都阻碍了他们在国际界限中分享见解和信息的能力,”卡安克说。
这包括与美国所提出的责任汽车安全刑事化的事物,以及对Wassenaar安排的变化,这可能具有迫使网络安全研究的效果。
“安全研究人员正在寻找更加困难和耗时的分享信息,开发新的研究领域与攻击者保持联系,”Kawalec说。
据报道,立法和国际事件的复杂性将对安全和隐私的领域产生更大的影响。
结果,该报告称,当他们了解安全漏洞的影响时,网络捍卫者需要了解隐私问题的复杂性。
该报告警告说,该报告而不是对威胁对称响应,明天的网络后卫必须了解如何通过自动分析,广泛修复和基于社区防御来对威胁进行不对称的威胁。
“如果你认为对手能够协作和分享信息,以便他们允许他们运营和创造有效且有效的攻击,捍卫者需要利用安全威胁和情报共享平台中的相同共享和合作中受益,”Kawalec说。
“这些使行业团体和安全研究人员等社区使智能共享,共同努力,以更有效的方式回应网络威胁,这可能涉及将安全技术的平台放在一起,而不是点解决方案,并且能够检测以更加自动化和协调的方式响应攻击。“
该报告的结论是,虽然网络攻击的威胁不太可能消失,但周到规划可以继续增加攻击者必须支付成功利用企业的身体和智力价格。