物联网（IoT）和联网设备的增多导致了组织的攻击面在不断扩大。根据Cisco AppDynamics的报告显示，全球89%的IT人员认为，他们组织的网络攻击面在过去两年中正不断扩大，原因大多取决于物联网（IoT）。《向全应用程序堆栈安全方法的转变》报告调查了国际市场里各行各业的组织，并对组织中1150名IT人员的回馈进行了总结，概述了当前影响IT部门应用程序的安全挑战具体有哪些。

2023年企业将面临重大应用程序安全风险

01

报告指出，随着物联网和联网设备的增多，云应用、数字化转型以及混合办公模式也都在扩大组织的攻击面，而基于微服务的应用程序架构和DevOps方法也为应用程序带来了新的漏洞，这些因素将在2023年成为企业应用程序安全上的最大挑战。78%的受访者表示，他们组织整个应用程序堆栈很可能在未来12个月内受到攻击。

报告中详细列出了六大应用程序安全挑战：

1、对攻击面和漏洞缺乏可见性。

2、无法根据威胁的严重程度、威胁所带来的影响和业务环境确定威胁的优先级。

3、敏感数据的发现和保护。

4、无法适应应用程序安全环境的快速变化。

5、难以协调效率、应用程序性能和安全性之间的关系。

6、难以处理安全威胁所带来的警报量。

58%的受访者表示，应用程序安全风险的可见性和情境化效率低下，常会使组织处于“安全边缘”，因为组织不知道应该关注什么或优先考虑什么。报告写道：“IT团队为来自应用程序堆栈的警报轰炸所困扰，但他们根本无法消除这些数据噪音。IT团队无法了解所有安全问题的风险级别，否则就可以根据业务影响来确定补救措施的优先级。因此，IT人员常会感觉自己正被新的安全漏洞、安全威胁所淹没。”

报告指出，IT运营团队和安全团队之间缺乏着协作和理解，这也会为安全问题带来负面影响，比如会使得组织更容易受到威胁盲点的影响，再比如两部门若无法达成共识就没办法确定安全的优先级，这导致的结果就是会错过处理安全事件的最佳时机。值得注意的是，55%的技术专家表示，他们认为安全更像是组织内部要进行创新时的阻碍，更别说推动者了。

技术、文化可更好的提升DevSecOps效率

02

报告指出，DevSecOps是解决现代应用程序安全风险的关键，但向DevSecOps方法进行转变需要相应的技术和文化。提高检测、阻止安全问题的自动化运用是大多数受访者正在探索的途径，该报告也揭示了ITOp/开发团队需要更加了解安全，而安全人员则需要更加深入地了解应用程序开发，以及找出影响性能和效率的各种因素。

国外专家认为，安全部门可以为开发人员量身定制安全培训，以了解、防范相关风险，其包括更新过时的安全教育，增加安全培训的吸引力和相关性，以便更好地传授开发人员所需的安全知识，提升他们适应威胁环境和应用程序安全的动态技术基础。