E安全8月22日文 近年来，由于Web应用攻击方法的不断曝光和web应用重要性不断提高，对Web信息系统的攻击事件数量大增。绝大多数Web攻击事件的根源在于Web信息系统中存在有安全漏洞：已经有超过40%的泄露状况指向Web应用，Verizon公司在其2016年数据泄露调查报告当中指出。为什么会出现这样的情况？为什么那些安全度不高的应用仍被大量放出？又为什么开发阶段中的扫描与测试工作愈发普遍，数据泄露问题还是层出不穷？

Prevoty公司在其《数据泄露的真正根源》报告当中发现了一种令人忧心的趋势，其中指出了数据泄露问题的一种深层潜在起因：安全与IT专业人士之间存在严重冲突。

据了解，目前的IT职能角色分为普通IT人员、安全实践人员以及应用开发人员等等。最近的研究结果显示，在涉及安全因素认知与实现层面时，普通IT人员与特定安全人员间存在着巨大的对接鸿沟。

“鸿沟”的定义

根据这份报告所言，IT专业人员与安全专业人员之间的鸿沟可主要分为三大要点。

• 首先，双方对于应用程序需要进行更新的具体时间点抱有不同观点。安全人员认为目前的安全解决方案需要即时且持续不断的更新，从而保持业务数据及应用始终拥有最新补丁以对应各类威胁，具体来讲有超过一半（52%）的安全从业者认为应用需要每天至少更新一次。

• 相比之下，有半数IT专业人员认为应用每一到六个月更新一次即可。换句话来说，应用程序可以在IT人员的管理之下持续运行并每半年进行一次更新——这种作法在安全层面上无疑相当可怕。

  安全与IT专业人员间的第二大分歧在于对安全漏洞流行度的认知结论。在一方面，大部分安全从业者认为其应用程序当中存在着显而易见的安全漏洞，而有39%的IT人员认为其企业当中几乎甚至完全不存在易被利用的安全漏洞。由此带来的结果是，IT人员几乎很少动手处理安全漏洞——而安全人员却在持续不断地对漏洞进行审查、优先级排序以及/或处理。

• 说起持续不断，第三项也是最后一项分歧在于双方对于积压漏洞数量的巨大认识差异。几乎全部（93%）安全人员都认为其积极漏洞已经超过5000项，其中62%则表示每项安全漏洞的平均修复时间要超过24小时。

考虑到上述结论，如果某家企业积压有5000种安全漏洞，则需要近两年时间（365年）才能将其全部修复完成。而IT专业人员眼中的情况则完全不同——近半数IT人员表示企业中根本不存在积压的安全漏洞。这就带来了一系列新的问题：IT专业人员是否拥有与安全从业者相同的漏洞识别能力？他们又是否接受过同样的培训或者具备专业知识储备？

弥合鸿沟

为了弥合IT与安全专业人员之间的认识鸿沟，大型IT社区必须更进一步建立起统一化方案。双方的理解差异可通过良好的沟通、知识共享以及相互认同得到缓解。

良好的理解可能应从培训工作开始，即帮助IT专业人员了解如何维护并管理强大的安全解决方案，并在企业环境下利用最佳实践以推广应用安全性可见度、快速漏洞修复以及安全编码习惯等等。他们需要更为深入地了解安全危害，认识到应用程序更新迟缓、未发现安全漏洞以及未能及时解决积压漏洞可能带来的风险。

在另一方面，大多数安全专业人员每周可能要花最多四天通过政策更新、新的定义列表以及其它反应式配置手段调整现有应用安全解决方案，这意味着他们没有时间或者精力来专注于建立更具战略意义的应用安全项目。双方团队应当通过协作应对问题，并找到无需频繁更新或增添大量负担即可实现的安全解决办法。

目前的安全形势已经非常明确，安全威胁因素永远不可能彻底消失，而安全与IT人员需要在整个应用程序生命周期中联手发现各类安全漏洞——从开发阶段到生产阶段再到常受忽视的应用实际运行阶段。这可能意味着安全预算、时间与人力成本有所增加，但同时也意味着问题邂逅对应资源可随时加以释放（同时亦解决了漏洞积压的问题）。

最后，安全与IT专业人员需要建立起一套分层安全方案，其与网络层及应用层拥有同样重要的地位。另外，考虑使用静态应用安全测试与动态应用安全测试等测试技术方案，并由IT团队考虑引入新的、自动化程度更高的新型安全方案——包括下一代防火墙与RASP等等。

在回顾上一代员工的工作习惯时，我们可以轻松发现组织内的低效率与部门间孤岛的存在。利用同样的方式，我们也希望企业能够利用增强沟通、跨IT社区实现理解以及积极实施全面保护措施等方式，真正弥合应用领域的安全鸿沟。