攻击者在过去的一年里加强了他们的应用游戏。软件供应链安全供应商调查的62%的组织Anchore都受到了去年软件供应链攻击的影响。的SolarwindsKaseya,Codecov供应链攻击提醒我们,这些攻击是如何影响关键基础设施和各种规模的组织的。2021年底,美国各州机构认识到,没有哪个机构或组织是无足轻重的,也没有什么应用是平淡无奇的,不能成为起点通过家畜web应用程序被破坏.今年2月,俄罗斯入侵乌克兰改变了这种局面网络环境为世界各地的组织服务。

好消息是,人们对软件供应链安全和安全的认识和投资有所增加保护你出售的东西.根据弗雷斯特分析商业技术图形®安全调查,2021与2020年相比,更多的组织从设计到生产都在采用安全测试,并扩大了他们使用的测试和保护类型。弗雷斯特发现的“左倾”趋势应用安全状况,2021年,在2022年继续并扩展为“无处不在的转移”安全方法。以下是我们调查数据中的一些亮点:

  • api:知道是成功的一半;确保它无处不在是另一半。api是应用程序、集成和平台的构建块。微服务体系结构、REST API标准和云部署的便利性都促进了API的普及。api不仅仅使应用程序能够执行业务逻辑或连接两个系统。我们的同事David Mooter观察到,API业务思维是什么转换您的业务:将api视为业务功能的接口,而不是应用程序。api为组织解锁了价值,但却为安全团队打开了潘多拉魔盒。很少有组织能够列举出他们所有的api,正如俗话所说,“你无法保护你不知道的东西。”API安全工具拥有许多不同的功能,但是发现是掌握安全态势的这一方面的第一步。一旦你掌握了API库存,你就必须保护它们。在Forrester的2021年安全调查中,40%采用API安全的安全决策者报告称,他们计划在测试中采用API安全,而43%指出计划在开发中采用API安全。
  • 软件组合分析(SCA)是舞会上的美人.SCA的流行是随着开源的使用而增长的。攻击者和开发人员都认识到驱动开发团队利用开源和第三方库而不是构建自己的库的效率。当29%的流行开源库包含一个漏洞(根据最近的Sonatype报告),攻击者不需要努力寻找目标。SCA帮助组织识别开放源码和第三方组件中的漏洞、许可证风险、冲突和不兼容的使用。许多软件成分分析工具能够生成软件材料清单(SBOM),这是美国联邦政府要求所有供应商提供的产品“成分清单”,作为2021年5月的一部分改善国家网络安全的行政命令
  • 机器人行为恶劣,2021年的电视真人秀.攻击者利用机器人利用资源稀缺、供应链困境和我们对空货架的恐惧。根据最近的一项调查,机器人攻击上升了32%律商联讯2021年逐年报告。从厕纸到令人垂涎的疫苗预约,机器人包揽了一切。早在10月份,专家就警告说,全球供应链崩溃会对假日购物季造成影响,建议消费者提前购买。机器人们并没有等到黑色星期五才开始他们的假日购物。10月下旬,商品一上线,机器人就开始抢购商品。不法分子知道,利用现有的物资短缺和假日购物高峰,他们可以在网上市场以更高的价格转售商品。在美国,圣诞怪杰和坏机器人合作,试图偷走圣诞节,Akamai报道称,恶意机器人活动在印度排灯节和中国双十一这两个主要购物活动期间激增。零售商可能会把机器人管理放在他们假期愿望清单的首位,因为在弗雷斯特2021年安全调查中,只有64%的零售安全决策者表示采用了机器人管理解决方案。

机器人、api和soms只是冰山一角。深入应用安全状态,2022年,以全面了解今年的情况。提示:Jeff仍然不太可能得到PS5很快。