39%的数据泄露是由应用程序漏洞造成企业如何解决软件安全问题?

39%的数据泄露是由应用程序漏洞造成企业如何解决软件安全问题? – 作者:中科天齐软件安全中心

尽管我们看到在前几个月出现了SolarWinds、Microsoft Exchange Server等大规模应用程序攻击，但其实更多网络攻击事件同时也正在发生。今年3月和4月，社交媒体网络也遭受几起重大的数据泄露事件，如Facebook、LinkedIn和社交音频初创公司的数亿用户的个人资料信息在黑客论坛上公开发布。

医疗保健行业和航空公司遭受的攻击也并未停止，美国华盛顿州某医疗保健系统和美国癌症治疗中心各自遭受了超过100,000条记录的破坏，航空公司技术提供商SITA泄露来自多家航空公司的乘客数据的泄露。

网络安全拉响警报

此起彼伏的网络攻击事件提醒我们，网络安全带来的威胁已经渗透到各行各业，并且带来的风险也逐渐增加。应用程序安全是这个风险中的重要部分。根据Verizon数据泄露调查报告显示，39%的数据泄露是由应用程序漏洞造成的。

报告显示，在3月至4月这两个月里，中断访问控制和跨站脚本(XXS)仍然是迄今为止风险最大的两种漏洞类型。但针对跨站脚本(XXS)漏洞在软件开发初期通过静态代码安全检测是可以有效识别的，若此时对代码进行安全检测可以减少一部分系统漏洞，降低遭受攻击的概率。

不安全配置及敏感数据泄露是继前两类安全问题之后的网络安全问题，此后经常出现的问题还有被破坏的身份验证和不安全反序列化。

漏洞趋势：略有改善

与上两个月相比，2021年3月至4月的应用程序漏洞趋势总体上略有改善。只有32%的应用程序包含严重漏洞，比 1月至2月的34%有所下降。但同去年相比，即使是32% 的数字仍然高于2020年11月之前的任何一个月。因此，具有严重漏洞的应用程序的百分比仍然很高。与1月至2月相比，在给定应用程序中更有可能发现两种漏洞类型：不安全配置和SMTP 标头注入。

具有大量漏洞的应用程序也略有减少。漏洞超过50个的应用比例从11%下降到9%，严重漏洞超过20个的应用比例从7%下降到6%。因此，在易受攻击的应用程序中发现的漏洞平均数量从1月至2月的61个下降到3月至4月的52个。

在语言方面，具有严重漏洞的 .NET 应用程序的百分比从28%下降到23%，存在严重漏洞的Java应用程序的百分比也有所下降，从 39%下降到37%。

攻击趋势：更可行的攻击

根据数据显示，攻击活动在增加，并且可行的攻击也在大幅增加。在年初两个月达到最低点后，针对Java应用程序中现有漏洞的攻击百分比从不到0.5%飙升至3%，大多数漏洞类型在3、4月期间受到的攻击比前两个月多，跨站点脚本(XSS)攻击影响55%的应用程序，比1、2月份的29%增加了90%。被破坏访问控制攻击的应用程序的百分比也增加了79%。受损的访问控制也成为最可能受到攻击的漏洞，影响了86%的应用程序。

针对软件供应链攻击增加

来自民族国家行为者和普通网络罪犯的日益恶化的威胁形势促使白宫在5月发布了一项新的行政命令。该命令专注于改善国家网络安全，非常重视应用程序安全和软件供应链攻击。

可行攻击的增加给那些存在大量未解决漏洞的安全债务的企业敲响警钟。尽管应用程序中漏洞数量有所下降，严重漏洞依旧不少。近三分之一 (32%) 的应用程序至少有一个严重漏洞，7%有超过20个。

最近的网络攻击越来越清楚地表明，原始应用程序安全工具和流程已不足以应对当今快速发展的软件开发迭代。大多数时候，企业研发应用程序关注在尽快上线运营，而很少认真去做安全方面的内容。开发人员在几天或几周内不会收到有关漏洞的信息，这使得修复漏洞变得更加困难，同时还增加了开发成本。

不论国际还是国家都在重视网络安全问题，因此企业在开发软件的过程中有必要将安全放在开发周期全流程当中。静态代码安全检测可以检测所有的代码级别可执行路径组合，直接面向发现语义语法问题等和一些运行时出现的漏洞，提供实时、可操作的反馈，帮助开发人员能够在问题出现后立即修复问题。开源代码扫描SCA可对应用程序中的开源库和框架进行实时分析，从而实现从版本控制到新发现漏洞的所有内容的可见性。而动态应用安全测试可以发现运行时出现的问题。通过在开发阶段解决大部分问题，可以使应用软件安全性更加有效，并以DevsecOps的速度发展。