威脅建模正在成為企業(yè)安全建設(shè)重中之重
責(zé)編:gltian |2021-07-14 10:40:19
Security Compass發(fā)布的一份報告針對大中型企業(yè)的威脅建模現(xiàn)狀做了調(diào)查,調(diào)查特別關(guān)注了企業(yè)為構(gòu)建和部署應(yīng)用程序擴展威脅建模所面臨的挑戰(zhàn)。
威脅建模挑戰(zhàn)
該研究發(fā)現(xiàn)最緊迫的問題是企業(yè)構(gòu)建應(yīng)用程序威脅建模的優(yōu)先級越來越高,這與大部分工作越來越自動化的信念相吻合。傳統(tǒng)的威脅建模實踐歷來都很緩慢,阻礙了組織將應(yīng)用程序快速推向市場的目標。
此外,超過一半的調(diào)查者表示,他們在嘗試將這一基本流程集成到現(xiàn)有的技術(shù)中時出現(xiàn)了問題,這導(dǎo)致調(diào)查企業(yè)中僅有不到一半的企業(yè)對關(guān)鍵網(wǎng)絡(luò)安全威脅具有充足準備。
威脅建模顯然需要更高的可擴展性和自動化,以平衡快速軟件開發(fā)和安全軟件開發(fā)。
威脅建模的現(xiàn)狀
只有25%的調(diào)查參與企業(yè)表示他們在軟件開發(fā)早期的需求收集和設(shè)計階段進行了威脅建模,然后才進行應(yīng)用程序開發(fā)。
不到10%的受訪企業(yè)表示,他們對開發(fā)的90%以上的應(yīng)用程序進行了威脅建模。最常見的是,企業(yè)會測試50~74%的應(yīng)用程序。
缺乏自動化
超過60%的企業(yè)認為其自身的威脅建模所有方面都可以完全自動化,但實際上只有28%達到了該閾值。
超過一半的企業(yè)在自動化威脅建模活動并將其與其他技術(shù)集成方面面臨挑戰(zhàn),41%的受訪者表示這一工作需要很長時間。
COVID-19和供應(yīng)鏈脆弱性的影響
由于COVID-19,超過80%的企業(yè)不得不對其網(wǎng)絡(luò)安全方法進行循序漸進的轉(zhuǎn)變。
超過84%的企業(yè)調(diào)查稱它們的供應(yīng)鏈可能特別脆弱,并因此進行了網(wǎng)絡(luò)安全策略更改。然而,只有31%的企業(yè)對他們開發(fā)的與其供應(yīng)鏈相關(guān)的應(yīng)用程序進行了威脅建模。
Security Compass首席執(zhí)行官Rohit Sethi表示:“軟件幾乎被用于日常生活的方方面面,因此企業(yè)必須配備必要的資源,以便對其開發(fā)和部署的應(yīng)用程序進行及時的威脅建模。威脅建模可確保在漏洞成為問題之前就被識別和修復(fù)。
來源:安全牛
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧