跳转到主要内容

【应用安全】5 个预测可帮助您在 2022 年集中您的 Web 应用安全资源

5星评论
没有投票
Last modified
星期日, 一月 9, 2022 - 22:46
PerimeterX 首席技术官 Ido Safruti 表示,今年商业领袖将了解在线犯罪分子的创新程度,并且需要重新思考我们如何看待帐户安全来打击它。

Web 应用程序网络安全的过去一年并不平静,如果 PerimeterX 首席技术官 Ido Safruti 对来年的预测是准确的,那么这将是保护 Web 应用程序的又一年努力。

Safruti 预测 2022 年,定制的恶意软件、机器人攻击和登录后欺诈激增,导致领导者最终面对在线欺诈的现实:它变化很大,目标变得越来越有选择性,从登录前到输入用户名和密码后。 “因此,我们相信 2022 年将是全面账户保护之年,”Safruti 说。

通过“全面的帐户保护”,Safruti 意味着超越老式边界或城堡和护城河身份验证的安全性。 “这意味着从用户帐户完整性的角度来处理安全性,并在整个应用程序旅程和帐户生命周期中提供多层保护,”Safruti 说。想想零信任和其他形式的身份验证,它们跟踪行为并记录操作以查找可疑行为。

 

Safruti 和 PerimeterX 对 2022 年的 Web 应用程序安全性做出了以下五项预测,整个情况看起来像是一场解决方案有限的安全风暴即将来临。

如果你对这些预测是否可靠感到好奇,Safruti 会指着他去年预测的成绩单。五个中的三个,即网络犯罪社区将变得更强大GraphQL 将成为安全风险以及闪购将由机器人主导,被评为正确。 DevSecOps 成为主流被认为是“难以判断”,并且认为在线购买店内取货将是一种大型新型欺诈行为的想法被贴上了错误的标签。

预计供应链攻击防范将变得更加重要


SolarWinds 攻击背后的组织 Nobelium 已经重新浮出水面,使用类似的方法攻击其他目标,这些目标本身就是利用第三方软件的弱点进行的供应链攻击。结合日益严格的数据保护法规,Safruti 预测,在这一年,企业开始将下游供应商的弱点视为严重的责任问题,而不仅仅是开展业务的成本。

“92% 的网站决策者对其软件供应链缺乏完整的可见性。获得这种可见性将是旨在防止重大数据泄露并避免在 2022 年及以后发生大规模监管罚款的公司的首要任务,”Safruti 说。

自定义恶意软件将攻击 100 个最大市场中的 50% 以上


众所周知,可以在互联网上找到恶意软件进行销售,并且可以对其开发人员进行定制、销售和支持,并且随着时间的推移,所述恶意软件的开发人员只能进行更多定制调整,以使他们的恶意软件更有效的。

Safruti 说,商品化的攻击工具很便宜,并且可以在线获取免费视频,帮助新兴的网络犯罪分子学习使用他们的工具。 “我们正在目睹‘犯罪即服务’(CaaS) 生态系统的兴起,这推动了针对特定应用程序或网站的定制恶意软件的兴起。由于进入门槛低且产生结果的潜力很大,定制恶意软件将成为2022 年更流行的攻击媒介,”Safruti 说。

登录后环境将开始受到安全关注


我们生活在两个安全世界中:旧的依赖登录来验证身份,而新的则用户名和密码远不够安全,无法依靠它来验证一个人是谁。说他们是。即使是多因素身份验证也只会增加外围安全性,使其有益但不是永久的解决方案。

“到 2022 年,我们预计在线企业将采用解决此问题的解决方案。了解用户是否确实是他们所说的人——以及他们的登录后活动是否合法——将是维护账户完整性的关键,”Safruti 说.

欺诈将导致一家大公司今年贬值


“在过去,许多公司将欺诈视为开展业务的成本,”Safruti 说。现在情况已不再如此,因为他预测针对在线业务的整体欺诈行为将增加到对公司产生重大影响的程度。

“最近的研究表明,不良机器人对在线零售商的运营成本产生了 75% 到 80% 的负面影响,这相当于净收入的 18% 到 23%。当欺诈转化为对每股收益(EPS)的几美分的影响时),它将成为企业变得更加积极主动的警钟,”Safruti 说。

至少有一家大型零售商会放弃密码


暗网上有很多可供出售的凭证。例如,Safruti 指出 2021 年 6 月发布的 1.2TB 数据库包含来自超过 320 万台 Windows 计算机的信息,其中包括超过 4 亿个有效的 Web 登录 cookie。

“由于被盗凭据如此广泛,获取用户名和密码不再是对网络犯罪的威慑——因此企业需要重新考虑他们的欺诈预防策略,”Safruti 说。他预测,2022 年将是一个或多个面向消费者的大型企业“通过采用不仅仅依赖凭证的更强大的解决方案,完全消除对凭证的需求”的一年。

原文:https://www.techrepublic.com/article/5-predictions-to-help-you-focus-your-web-app-security-resources-in-2022/

Article

标签(Tags)

企业架构(35) 数据分析(35) Power BI(32) 微服务(31) 微服务架构(30) Data Analysis(30) 商务智能(30) BI(30) 认证考试(30) 微软认证(30) DA-100(28) 应用安全(27) 考试题(26) 物联网(25) 敏捷(25) Enterprise Architecture(24) 试题(20) 首席架构师(19) 首席架构师推荐(19) 云计算(19) 网络安全(18) 技术架构(17) 机器学习(17) 试卷(17) SAFe(16) 大数据(15) Kafka(15) 规模化敏捷(14) enterprise security architecture(14) 企业安全架构(14) 前端架构(14) microservice(13) 业务架构(13) 数据架构(13) IOT(13) 安全运营(13) 容器云(12) 敏捷建模(12) 服务网格(12) 数据分析师(12) 事件驱动架构(12) 区块链(12) 数据安全(12) 数据湖(11) 应用架构(10) AWS(10) 数据科学(10) 人工智能(10) Kubernetes(10) 产品管理(9) BI数据分析师(9) NGINX(9) 数字化转型(9) 深度学习(9) 软件架构(9) 架构师(9) machine learning(9) 商务智能分析师(8) CIO(8) 技术选型(8) 安全战略(8) 软件测试(8) ArchiMate(8) PostgreSQL(8) Azure(8) Cloud Computing(8) Big Data(8) API(8) MSA(8) MDM(8) 技术趋势(7) 容器云架构(7) 核心实践(7) 无服务器架构(7) JavaScript框架(7) Vue(7) React(7) 参考架构(7) DevOps(7) 数据仓库(7) Data Lake(7) Envoy architecture(7) 容器(7) 主数据架构(7) microservices(7) 技术架构师(7) digital transformation(7) 投资组合管理(6) 安全架构(6) 集成架构(6) 合同测试(6) 工控协议(6) ICS(6) Micro Service Architecture(6) Envoy架构(6) 事件驱动(6) 数字化(6) 微服务架构师(6) strategy(6) 安全工具(6) application security principle(6) Angular(6) Postgresql架构(6) 网络架构(6) agilemodeling(6) 首席架构师精选(6) 高管洞察与创新(6) 云安全(6) 合约测试(5) Event Hub(5) 应用安全原则(5) Enterprise Portfolio Management(5) WAF(5) 编程语言(5) JavaScript Frameworks(5) 用户体验(5) 云原生(5) Agile(5) Python(5) IT战略(5) 企业敏捷性(5) 数字化业务(5) API Gateway(5) 项目管理(5) Digital business(5) 工业控制系统(5) Microservice Architecture(5) ICP(5) 软件架构师(5) 数据挖掘(5) Data Architecture(5) 主数据管理(5) 性能(5) Architecture Overview(5) Best Practices(5) Data Warehouse(5) k8s(5) 战略(5) IoT(5) 解决方案(5) 工业物联网(5) 数据科学家(5) 敏捷数据(4) 领导力(4) IPS(4) 领域驱动设计(4) DDD(4) 性能调优(4) 微前端(4) Vue.js(4) Docker(4) 敏捷核心实践(4) 应用组合管理(4) Agile Core Practice(4) 程序员(4) 数据可视化(4) 前端开发(4) 前端架构师(4) 前端开发工程师(4) 容器云架构师(4) 职业发展(4) executive insights and innovation(4) enterprise agility(4) 数据湖架构师(4) 开源合规(4) 敏捷模型(4) 业务转型(4) 企业微服务架构(4) 消费者驱动的合同测试(4) JWT(4) security(4) 企业架构师(4) architecture(4) 应用架构师(4) blockchain(4) 存储架构(4) GDPR(4) Cloud(4) RESTful(4) 最佳实践(4) 分布式计算(4) 数据湖架构(4) Service Mesh(4) BDD(4) 解决方案架构师(4) Event-Driven(4) SCADA(4) 云原生架构(4) 去中心化(4) IoT(4) IoT(4) Deep Learning(4) EA(3) technology(3) NFR(3) 安全(3) 应用现代化(3) Big Data(3) Spark(3) Microservice(3)