Web 应用程序网络安全的过去一年并不平静，如果 PerimeterX 首席技术官 Ido Safruti 对来年的预测是准确的，那么这将是保护 Web 应用程序的又一年努力。

Safruti 预测 2022 年，定制的恶意软件、机器人攻击和登录后欺诈激增，导致领导者最终面对在线欺诈的现实：它变化很大，目标变得越来越有选择性，从登录前到输入用户名和密码后。 “因此，我们相信 2022 年将是全面账户保护之年，”Safruti 说。

通过“全面的帐户保护”，Safruti 意味着超越老式边界或城堡和护城河身份验证的安全性。 “这意味着从用户帐户完整性的角度来处理安全性，并在整个应用程序旅程和帐户生命周期中提供多层保护，”Safruti 说。想想零信任和其他形式的身份验证，它们跟踪行为并记录操作以查找可疑行为。

Safruti 和 PerimeterX 对 2022 年的 Web 应用程序安全性做出了以下五项预测，整个情况看起来像是一场解决方案有限的安全风暴即将来临。

如果你对这些预测是否可靠感到好奇，Safruti 会指着他去年预测的成绩单。五个中的三个，即网络犯罪社区将变得更强大、GraphQL 将成为安全风险以及闪购将由机器人主导，被评为正确。 DevSecOps 成为主流被认为是“难以判断”，并且认为在线购买店内取货将是一种大型新型欺诈行为的想法被贴上了错误的标签。

预计供应链攻击防范将变得更加重要

SolarWinds 攻击背后的组织 Nobelium 已经重新浮出水面，使用类似的方法攻击其他目标，这些目标本身就是利用第三方软件的弱点进行的供应链攻击。结合日益严格的数据保护法规，Safruti 预测，在这一年，企业开始将下游供应商的弱点视为严重的责任问题，而不仅仅是开展业务的成本。

“92% 的网站决策者对其软件供应链缺乏完整的可见性。获得这种可见性将是旨在防止重大数据泄露并避免在 2022 年及以后发生大规模监管罚款的公司的首要任务，”Safruti 说。

自定义恶意软件将攻击 100 个最大市场中的 50% 以上

众所周知，可以在互联网上找到恶意软件进行销售，并且可以对其开发人员进行定制、销售和支持，并且随着时间的推移，所述恶意软件的开发人员只能进行更多定制调整，以使他们的恶意软件更有效的。

Safruti 说，商品化的攻击工具很便宜，并且可以在线获取免费视频，帮助新兴的网络犯罪分子学习使用他们的工具。 “我们正在目睹‘犯罪即服务’(CaaS) 生态系统的兴起，这推动了针对特定应用程序或网站的定制恶意软件的兴起。由于进入门槛低且产生结果的潜力很大，定制恶意软件将成为2022 年更流行的攻击媒介，”Safruti 说。

登录后环境将开始受到安全关注

我们生活在两个安全世界中：旧的依赖登录来验证身份，而新的则用户名和密码远不够安全，无法依靠它来验证一个人是谁。说他们是。即使是多因素身份验证也只会增加外围安全性，使其有益但不是永久的解决方案。

“到 2022 年，我们预计在线企业将采用解决此问题的解决方案。了解用户是否确实是他们所说的人——以及他们的登录后活动是否合法——将是维护账户完整性的关键，”Safruti 说.

欺诈将导致一家大公司今年贬值

“在过去，许多公司将欺诈视为开展业务的成本，”Safruti 说。现在情况已不再如此，因为他预测针对在线业务的整体欺诈行为将增加到对公司产生重大影响的程度。

“最近的研究表明，不良机器人对在线零售商的运营成本产生了 75% 到 80% 的负面影响，这相当于净收入的 18% 到 23%。当欺诈转化为对每股收益（EPS）的几美分的影响时)，它将成为企业变得更加积极主动的警钟，”Safruti 说。

至少有一家大型零售商会放弃密码

暗网上有很多可供出售的凭证。例如，Safruti 指出 2021 年 6 月发布的 1.2TB 数据库包含来自超过 320 万台 Windows 计算机的信息，其中包括超过 4 亿个有效的 Web 登录 cookie。

“由于被盗凭据如此广泛，获取用户名和密码不再是对网络犯罪的威慑——因此企业需要重新考虑他们的欺诈预防策略，”Safruti 说。他预测，2022 年将是一个或多个面向消费者的大型企业“通过采用不仅仅依赖凭证的更强大的解决方案，完全消除对凭证的需求”的一年。

原文：https://www.techrepublic.com/article/5-predictions-to-help-you-focus-yo…