2024年应用安全的挑战与机遇

关键要点

应用程序安全正在面临快速增长的API与云环境的双重挑战。尽管人工智能(AI)和自动化的普及，但大部分企业仍手动管理其应用与API。当前，API和供应链攻击频发，保持应用安全的复杂度持续增加。人工智能的应用将是提升应用和API防御的重要工具，但也需要审慎评估潜在风险。

在2024年，应用安全正面临两种对立的力量。一方面，API的迅速扩展以及包括云平台在内的攻击面增加，给网络安全专业人士带来了巨大的保护压力；另一方面，威胁行为者正利用这两个弱点，以及伴随而来的众多漏洞和供应链问题。

SC Media对当前挑战、威胁和解决方案的分析，当然也包括AI，勾画出应用安全的前景既乐观又充满挑战。像往常一样，应用安全的状态处于不断变动之中，各企业正在匆忙管理过多的API，努力跟踪它们，并紧跟其后确保安全。

以下是从RSA大会和行业领袖近期发布报告中收集的年中见解。

应用安全的威胁与挑战加剧

根据Akamai的数据显示，现今高达91的网络流量由API构成，平均企业使用超过1000个应用，极大地增加了应用攻击面的安全挑战。

推特加速器

更严重的是，组织部署应用的速度和数量均超过了合理的安全管理能力，导致安全漏洞容易被忽视和解决。在2024年，尽管AI和自动化备受关注，Crowdstrike发现大多数组织仍然通过文档74和电子表格64手动跟踪其应用和API。此外，Cycognito在2024年网络应用安全测试报告中显示，70的受访者表示其环境中的网络应用数量过多，无法进行全面测试。近四分之三的受访者称他们每月甚至更少频率测试网络应用，导致任何时刻有超过40的攻击面未受到测试。

从2023年到2024年，针对API的网络攻击数量已翻倍，29的网络攻击现在针对API，Akamai高级副总裁兼首席安全官Boaz Gelbord在RSAC 2024主题演讲中提到：“对于我们这些防御者来说，发现恶意流量变得越来越复杂，攻击者也更容易实施他们的攻击。”

供应链挑战依然存在

应用安全的另一个巨大挑战是供应链攻击的增加，包括通过第三方应用程序入侵组织，以及利用自身应用中的第三方代码依赖性进行的攻击。例如，臭名昭著的XZ utils后门便是一例，幸运的是，在其造成重大损害之前就被发现了。

Verizon的2024年数据泄露调查报告显示，2023年至2024年间，涉及供应链互连的泄露案件比例增加了68。开源软件在这一点上起到了重要作用，ReversingLabs在其2024年软件供应链安全状态报告中发现，开源包的威胁从2020年到2023年暴涨了1300。

与此同时，开源软件的采用率在上升， OpenLogic的报告发现超过三分之二的组织在2023年增加了开源软件的使用。

与管理数百或数千个应用所遇到的困难类似，团队发现跟上日益增加的开源依赖性变得更加艰难，79的OpenLogic受访者表示维护开源安全具有挑战性，27的人甚至不知道组织正在使用哪些开源安全工具。

在RSAC 2024上，Veracode的首席风险官Chris Eng和Cyentia Institute共同创始人兼首席数据科学家Jay Jacobs指出，79的开源库从未被更新