應用程式(App)是企業維護數位生存力的策略根基,根據F5 Labs調查顯示,App在2018仍將因為各種威脅而處於四面楚歌狀態。今年,企業應下定決心提高App的防護警覺,不論它們駐留在資料中心或公共雲端環境。

根據F5針對政府、金融服務、科技與教育等全球客戶所做的「2018年應用交付現狀報告」(State of Application Delivery)顯示,平均而言,企業採用16種不同的應用服務以維護他們App的快速、安全和高可用性。安全性仍然是最重要的應用服務,不過由於IT組織正積極為數位經濟做準備,因此,閘道服務成為今年的一項關鍵需求。亞太企業未來12個月計畫部署的前五大服務中有四項屬於應用閘道服務,包括SDN、API、IoT和HTTP/2。

應用服務是未來的道路。希望你的最優先目標是加強App保護。

在F5針對安全議題的訪問中也發現,企業安全信心隨著多重雲端的興起而跌落。數位轉型促使企業從雲端執行更多應用交付,但由於欠缺公共雲端應用安全經驗與專業,使得他們承受攻擊的信心受到打擊。事實上,今年有28%全球受訪者表示最大的安全挑戰是保護App。此一事實提高了企業部署Web應用防火牆(Web Application Firewall;WAF)的意願,僅有2%亞太受訪者表示他們不預期任何App會在未來12個月建置WAF保護。

App面對無所不在的威脅。不論是發動DDoS攻擊的殭屍網路或者試圖打破應用安全圍牆的惡意軟體。事實上,每隔39秒就有人嘗試發動一次攻擊。換句話說,在你看到這個數字的時候,已有一個系統遭受攻擊。

當惡意人士發動攻擊時,他們將尋求最可能成功的向量:App和帳密。我們知道這個事實,F5威脅研究機構F5 Labs深入分析十年來發生的433攻擊事件,結果發現86%攻擊者把目標瞄準App和(或)使用竊取而得的帳密。

或許更大的警訊是,這幾年不論案件數量或者從受害者竊取的利益都呈現增加趨勢。過去十年,攻擊者已竊得120億筆資料。攻擊者的技術越來越精進,而且邁向自動化。2018的攻擊數量只會增加不會減少。今天的攻擊者運用各種機制潛入組織內部。大量遭竊的帳密,被惡意人士用來發動帳密填充攻擊。當出現平台或架構層級安全脆弱性時,從揭露到修補之間的時間差,往往讓攻擊者趁機成功發動大量攻擊。

我們正擴充到相當新而陌生的領域 - 多重雲端,安全性也因此變得更重要。對於App和資料而言,公共雲端的風險如同企業內部環境,因此我們必須像在企業內部那樣投注同樣的心力保護它們。也就是說,我們必須部署一些應用服務,例如先進或次世代web App防火牆(Advanced WAF),它具備傳統WAF、DDoS 防護、防帳號密碼被偷竊、bot 攻擊偵測以及全球攻擊與威脅情報挹注的先進App防火牆,以及聯合身分識別、應用存取控制等。更建議採用多因子認證(multi-factor authentication; MFA),並且不論App部署在任何地方都要做好安全管控。

邁入新的一年,讓我們下定決心致力保護App。不論是稽核或重整既有的安全計畫,或者部署新方案,讓我們在2018提高警覺努力維護應用