Security Compass发布的报告调查了大中型企业威胁建模的现状,特别关注了企业构建和部署应用程序扩大威胁建模的挑战。
威胁建模挑战
研究发现,最紧迫的问题是,企业建立应用程序威胁建模的优先级越来越高,这与大多数工作越来越自动化的信念是一致的。传统的威胁建模实践一直非常缓慢,阻碍了组织将应用程序推向市场的目标。
此外,超过一半的调查人员表示,他们在试图将这一基本过程集成到现有技术中时存在问题,导致不到一半的调查人员为关键网络安全威胁做好了充分准备。
威胁建模显然需要更高的可扩展性和自动化,以平衡快速软件开发和安全软件开发。
威胁建模现状
只有25%的调查参与者表示,在应用程序开发之前,他们在软件开发的早期需求收集和设计阶段进行了威胁建模。
不到10%的受访者表示,他们威胁要建模90%以上的开发应用程序。最常见的是企业会测试50~74%应用程序。
缺乏自动化
超过60%的企业认为自己的威胁建模可以在各个方面完全自动化,但实际上只有28%达到了这个阈值。
41%以上的企业在自动化威胁建模活动与其他技术集成方面面临挑战。41%的受访者表示,这项工作需要很长时间。
COVID-19以及供应链脆弱性的影响
由于COVID-19,超过80%的企业必须逐步改变其网络安全方法。
超过84%的企业调查称,他们的供应链可能特别脆弱,因此网络安全策略发生了变化。然而,只有31%的企业威胁和建模了他们开发的与供应链相关的应用程序。
Security Compass首席执行官Rohit Sethi表示:“该软件几乎用于日常生活的各个方面,因此企业必须配备必要的资源,以便及时威胁其开发和部署的应用程序。威胁建模可以确保在漏洞成为问题之前被识别和修复。”
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章