企业安全风险在于应用层

Verizon(DBIR 2025)和谷歌Mandiant(M-Trends 2025)近期发布的报告证实了许多安全负责人早已怀疑的情况：应用层的组件是企业中受攻击最多且防护最薄弱的环节之一，这一趋势包括黑客对云环境的日益关注，云环境高度依赖应用层服务和接口，如存储集中权限的基于云的单点登录(SSO)门户等关键组件。

但这些报告还提出了一个更重大的问题：我们每天构建和运行的应用程序内部究竟发生了什么?

Contrast的报告证实，应用程序和API是攻击者首选的战场。

Contrast Security的CTO兼创始人杰夫·威廉姆斯(Jeff Williams)表示：“我们看到应用程序遭受攻击的方式发生了根本性转变。AI使对手比以往任何时候都更容易大规模发动有针对性的、可行的攻击，而像WAF、静态应用程序安全测试(SAST)和EDR这样的工具，在应用程序运行时，仍然无法察觉其内部发生的情况。”

应用层攻击数量增多、复杂度提升

针对应用层的攻击数量和种类大幅增加，这一转变既反映了人们对定制软件和API的依赖程度日益加深，也反映了对手策略的演变，他们已经摸清了防御的薄弱环节。安全运营中心(SOC)团队面临的主要挑战是，仅靠网络或端点信号无法实现应用层的威胁检测，要发现深藏在应用栈中的攻击，需要更深入的可见性。

平均而言，应用程序包含30个严重漏洞，AI生成的代码使问题加剧，第三方库则加速了风险。

平均而言，应用程序每月新增17个漏洞，但开发人员仅修复6个，黑客在短短5天内就开始利用新漏洞，而修复最严重的漏洞也需要约84天。

应用程序遭受攻击的频率比以往任何时候都高，平均每3分钟就有一个应用程序成为攻击目标，每个月，平均每个应用程序会遭遇81次绕过其他防御的已确认攻击，这些攻击大多涉及不可信的反序列化、方法篡改、对象图导航语言(OGNL)注入和类似技术，具体因行业和技术栈而异。

团队转向运行时保护和应用可见性

一些以前在AI出现前难以实施的攻击技术，如今却构成了大部分风险，关注当前可利用的漏洞，有助于团队重新掌控局面。

为了应对日益增长的风险，安全团队正在调整策略，以解决应用层的可见性差距问题，这包括超越被动防御，采用运行时保护模型，从运行中的应用程序内部检测并阻止攻击。

报告结果显示，安全运营(SecOps)、应用安全(AppSec)和开发团队之间共享遥测数据，有助于企业重点关注对现实世界构成最大风险的威胁和漏洞，这种统一、基于上下文的方法，能够加快响应速度，实现更有针对性的修复，并减少安全工作流程中的告警疲劳。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。