安全測試與漏洞管理領域各大發(fā)展趨勢概述

責任編輯:editor005

2016-09-21 14:58:44

摘自:E安全

盡管對于系統(tǒng)及數(shù)據(jù)的保護工作已經相當重視,但大多數(shù)企業(yè)仍然未能順利執(zhí)行經常性安全測試。本次發(fā)現(xiàn)結果是基于Osterman Research公司對126名安全專家進行的調查,且各位受訪者皆了解或者負責企業(yè)之內的安全測試工作。

盡管對于系統(tǒng)及數(shù)據(jù)的保護工作已經相當重視,但大多數(shù)企業(yè)仍然未能順利執(zhí)行經常性安全測試。根據(jù)最近進行的一輪相關調查,雖然95%的受訪者曾經遭遇到已被明確報道的十余種常見安全漏洞之一,但仍有五分之一的企業(yè)承認其從未進行過任何安全測試工作。

本次發(fā)現(xiàn)結果是基于Osterman Research公司對126名安全專家進行的調查,且各位受訪者皆了解或者負責企業(yè)之內的安全測試工作。

關鍵性發(fā)現(xiàn)

大多數(shù)企業(yè)對待安全測試的態(tài)度并不積極– 只有不到四分之一企業(yè)認為自身在安全測試方面“非常積極”,不過有一半受訪者認為其所在企業(yè)“較為積極”。然而,近三分之一企業(yè)認為其在安全測試工作上“較為”甚至“非常”不積極,或者干脆表示“并不存在”安全測試流程。

多數(shù)企業(yè)并未執(zhí)行安全測試– 五分之一企業(yè)在過去六個月中從未執(zhí)行過安全測試。而在曾在過去半年內執(zhí)行過安全測試的企業(yè)中,有66%以每月或者更低頻率執(zhí)行此類工作,而大多數(shù)并沒有穩(wěn) 定的安全測試執(zhí)行周期。大部分企業(yè)會結合內部資源與第三方測試服務共同完成安全測試,不過仍有五分之二企業(yè)僅依靠內部資源進行安全測試管理。

大多數(shù)企業(yè)發(fā)現(xiàn)安全測試是一項極具價值的最佳實踐– 盡管多數(shù)企業(yè)并未執(zhí)行安全測試,但有三分之二廠商認為安全測試是一項極具價值的最佳實踐。

安全測試與審查頻度過低,某些企業(yè)甚至從未進行過安全測試– 安全測試與測試審查工作頻度過低:只有5%的企業(yè)會每天執(zhí)行安全測試審查以評估安全漏洞,另有24%以每周或者每周多次方式執(zhí)行此類工作。與此同 時,25%的受訪企業(yè)每季度或者每年執(zhí)行此類工作,而有20%企業(yè)僅在必要時執(zhí)行測試審查,這意味著其余時間內其只能依靠猜測來了解自身系統(tǒng)的安全狀況。

安全技能短缺與多種測試挑戰(zhàn)– 在本次調查中,最為常見的安全測試挑戰(zhàn)包括人手不足、無暇執(zhí)行安全測試以及缺乏相關技能以支持定期測試。

超過半數(shù)企業(yè)正逐步引入第三方協(xié)助其進行安全測試– 為了解決上述問題,相當一部分受訪企業(yè)開始從第三方獲取幫助,例如托管安全服務供應商,旨在由其負責執(zhí)行安全測試。五分之三的受訪企業(yè)已經開始與第三方達 到安全測試合作,而另外21%企業(yè)則計劃在明年之內完成這項工作。只有9%的企業(yè)從未計劃利用第三方提供的安全測試服務。

沒人能夠完全不受網絡攻擊的影響– 95%的調查受訪者報告稱,其曾經遭遇過調查中所列出的十余種常見安全問題當中的一種。

“以影子IT、移動以及物聯(lián)網為代表的新興趨勢意味著定期安全測試正呈現(xiàn)出史無前例的重要意義,”Trustwave公司SpiderLabs主任 Kevin Overcash指出。“其中包括自動化安全掃描,旨在幫助企業(yè)發(fā)現(xiàn)潛在安全漏洞以及薄弱配置環(huán)節(jié); 外加深度滲透測試,旨在站在與犯罪分子相同的立場尋求漏洞利用可能性。”

“這份報告應該向企業(yè)及政府機構敲響了一記警鐘,提醒其應當盡快利 用新的安全漏洞測試策略以實現(xiàn)更理想的數(shù)據(jù)庫、網絡與應用強化效果,從而對抗各類數(shù)據(jù)竊取與泄露行為,”Osterman Research公司的Michael Osterman解釋稱。“企業(yè)需要著眼于更為綜合的安全測試機制并更為頻繁地加以執(zhí)行。越來越多的企業(yè)亦開始向這一領域的托管安全服務供應商尋求幫助。”

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號