企业面临的安全挑战已经发生改变

　　如今，越来越多的企业选择部署移动技术和数字化来强化自己的业务，直播，传统的业务模式在新的技术革命中面临新的安全问题和挑战。这些挑战集中体现在如下几个方面：

　　第一，固守网络边界安全难以达到预期的效果。传统的安全思路是，在网络边界实行严格的访问控制、部署网络防火墙、入侵检测以及入侵防御系统等，企业以为这么做足以高枕无忧，但实则是被安全的假象所包围。近年来，黑客渗透进入企业内网，绕过网络防火墙，通过IT系统漏洞获取最高执行权限、下载敏感数据，种植木马病毒等攻击事件层出不穷。

　　更何况，随着云技术的快速发展和大量使用，传统的企业网络边界正变得越来越模糊，这势必给固守边界安全这种方式带来更大的挑战。

　　第二，应用防火墙存在天花板效应。和网络防火墙侧重在网络层做防御有所不同，应用防火墙则是在应用层入手，扮演门卫的角色以保护IT应用。但随着企业在数字化道路上的不断前行，企业IT应用数量和业务复杂度都在持续增长，这使得管理维护应用防火墙安全规则的难度也在不断加大。当这种难度大到难以掌控的时候，应用防火墙便遇到了天花板，例如谁也不知道某条安全规则为何存在，谁也不敢轻易去修改安全规则，谁也不敢添加新的安全规则，因为有可能会对正常访问造成误杀等等。此时本来是为企业安全保驾护航的应用防火墙，反而成了企业数字发展的瓶颈。

　　除了安全规则的管理维护难度大之外，无论是网络防火墙还是应用防火墙，都无法彻底解决漏报和误报的问题。误报对用户体验是种伤害，然而更为严重的是，由于安全的特殊性，一次漏报就有可能造成后续的安全事件。

　　第三，在提倡持续交付、DevOps以及通过MVP基于市场反馈进行快速改进的开发部门面前，偏好实施安全控制和审计的传统安全部门无法跟上开发部门的快速开发节奏。随着敏捷精益、持续交付、DevOps等理念和技术的发展，开发部门可以做到一天之内数次发布产品。例如，早在2014年的时候，亚马逊平均每秒就有一次以上的产品部署，每天如此。在这种情况下，安全部门如何跟上开发团队的速度？如何在快速变化当中了解即将发布的IT应用的安全情况？

　　这些挑战使得安全成为了企业数字化转型中“最薄弱的一环”，在日益复杂的未来环境中面临严重风险。大部分企业认为自己有能力抵御网络攻击，可实际情况是，企业安全问题已经迫在眉睫，很多安全公司对企业安全是持悲观态度的。

　　根据企业规模和行业的不同，安全在IT投资中的占比也不同。一般而言安全投资的比例会占到5%-8%，金融行业略有不同。大部分的资源被投入到了IT基础设施安全（例如，网络、服务器、数据安全）。而安全风险越来越突出的应用安全方面，却存在着严重的不足。

　　伴随投入占比失衡的问题，更加突出的是安全技术的变化，现在的安全威胁已经由传统的病毒木马、系统漏洞、缓冲区溢出攻击转变为虚拟机安全，激动安全，APT攻击，DDoS攻击等。这些攻击带来的安全风险和威胁也随之加剧。比如携程网信用卡泄露事件，从表面上看是Web页面上的漏洞所致，漏洞的产生主要是由于产品在其App端调试的过程中便开发了整个目录的遍历，由于开发过程中安全控制不足，上线后黑客能够巧妙的绕过服务器的权限访问到文件系统的其他部分。此次安全漏洞可导致用户个人信息、银行卡信息等泄露。由于发现及时，最后得以控制和限制。但这件事给越来越多的成长中的企业以警示。使得更多的企业在面临数字化创新、求新求变的同时，将安全放在重中之重的地位。

　　金融行业是安全风险和攻击出现的重灾区，以银行行业为例，银行为了更多地吸引客户和方便客户，开通了网上银行业务，由于任何用户都可以通过互联网访问业务系统，因此网上银行系统存在来自互联网各种攻击的安全风险，这种风险在P2P行业盛行的中国尤为突出。

　　图1：安全风险和对应的投资呈现出严重错位

　　企业中的绝大多数数据访问都是通过应用程序进行访问的 。根据Gartner统计，现有的攻击中80%的网络攻击也是发生在应用层。面对新的安全形势，企业若不采取有效措施加以应对，应用程序中的安全漏洞一旦被公之于众，必将对业务造成破坏性影响，使企业陷入竞争不利的局面。一般应对此类安全问题的措施是采用应用层防火墙做一些基础性的防护，系统性地测试和扫描所有应用，通过特征库来区分安全威胁和风险，这种控制的方式存在误报率高、问题发现不彻底的缺陷。要解决应用层安全的问题，最佳的方式是在软件开发的过程中，根据软件和应用的特性，在应用开发的过程中解决安全风险。