尽管对于系统及数据的保护工作已经相当重视,但大多数企业仍然未能顺利执行经常性安全测试。根据最近进行的一轮相关调查,虽然95%的受访者曾经遭遇到已被明确报道的十余种常见安全漏洞之一,但仍有五分之一的企业承认其从未进行过任何安全测试工作。
本次发现结果是基于Osterman Research公司对126名安全专家进行的调查,且各位受访者皆了解或者负责企业之内的安全测试工作。
关键性发现
大多数企业对待安全测试的态度并不积极– 只有不到四分之一企业认为自身在安全测试方面“非常积极”,不过有一半受访者认为其所在企业“较为积极”。然而,近三分之一企业认为其在安全测试工作上“较为”甚至“非常”不积极,或者干脆表示“并不存在”安全测试流程。
多数企业并未执行安全测试– 五分之一企业在过去六个月中从未执行过安全测试。而在曾在过去半年内执行过安全测试的企业中,有66%以每月或者更低频率执行此类工作,而大多数并没有稳 定的安全测试执行周期。大部分企业会结合内部资源与第三方测试服务共同完成安全测试,不过仍有五分之二企业仅依靠内部资源进行安全测试管理。
大多数企业发现安全测试是一项极具价值的最佳实践– 尽管多数企业并未执行安全测试,但有三分之二厂商认为安全测试是一项极具价值的最佳实践。
安全测试与审查频度过低,某些企业甚至从未进行过安全测试– 安全测试与测试审查工作频度过低:只有5%的企业会每天执行安全测试审查以评估安全漏洞,另有24%以每周或者每周多次方式执行此类工作。与此同 时,25%的受访企业每季度或者每年执行此类工作,而有20%企业仅在必要时执行测试审查,这意味着其余时间内其只能依靠猜测来了解自身系统的安全状况。
安全技能短缺与多种测试挑战– 在本次调查中,最为常见的安全测试挑战包括人手不足、无暇执行安全测试以及缺乏相关技能以支持定期测试。
超过半数企业正逐步引入第三方协助其进行安全测试– 为了解决上述问题,相当一部分受访企业开始从第三方获取帮助,例如托管安全服务供应商,旨在由其负责执行安全测试。五分之三的受访企业已经开始与第三方达 到安全测试合作,而另外21%企业则计划在明年之内完成这项工作。只有9%的企业从未计划利用第三方提供的安全测试服务。
没人能够完全不受网络攻击的影响– 95%的调查受访者报告称,其曾经遭遇过调查中所列出的十余种常见安全问题当中的一种。
“以影子IT、移动以及物联网为代表的新兴趋势意味着定期安全测试正呈现出史无前例的重要意义,”Trustwave公司SpiderLabs主任 Kevin Overcash指出。“其中包括自动化安全扫描,旨在帮助企业发现潜在安全漏洞以及薄弱配置环节; 外加深度渗透测试,旨在站在与犯罪分子相同的立场寻求漏洞利用可能性。”
“这份报告应该向企业及政府机构敲响了一记警钟,提醒其应当尽快利 用新的安全漏洞测试策略以实现更理想的数据库、网络与应用强化效果,从而对抗各类数据窃取与泄露行为,”Osterman Research公司的Michael Osterman解释称。“企业需要着眼于更为综合的安全测试机制并更为频繁地加以执行。越来越多的企业亦开始向这一领域的托管安全服务供应商寻求帮助。”