根据一则专注于Web应用程序攻击趋势的最新报告显示，大多数公司及组织需要一个多月才能修补其系统中存在的关键漏洞。

这份数据来自TCell，该公司研究人员分析了其客户群所经历的超过3.16亿次安全事件，以及在AWS和Azure生态系统中的最常见类型的真实攻击案例，并于近日发布了《2018年第二季度生产环境Web应用程序安全报告》。

据悉，TCell是于去年才首次发布了这份报告，并注意到组织面临的攻击-违约率（attack-to-breach ratio）过高——攻击者在成功突破之前经历的尝试次数为10万：1。针对Web应用程序的攻击频率之所以如此之高，是因为攻击者使用自动化技术来捕获应用程序中的漏洞，进而实施针对性攻击。

今年，TCell公司对上一季度的数据进行了分析，并形成了《2018年第二季度生产环境Web应用程序安全报告》，以了解从应用程序访问安全数据如何影响团队保护应用程序的能力。结果发现，拥有这些数据的安全团队获得了可衡量的流程改进以进行补救工作，他们使用这些数据来改善与开发人员和运营同行间的协作关系，并帮助任务超负荷的安全团队确定工作优先级，以便更为有序、高效地完成补救工作。

在第二季度的报告中，研究人员发现了两种主要攻击方式：一个是针对应用程序用户的尝试跨站点脚本（XSS）攻击，这是检测到的最常见的安全事件类型。不过，研究人员进一步指出，大多数XSS实例只是攻击尝试。去年，只有1/1200次攻击尝试取得了成功，这也使得很难将实际的违规行为与攻击尝试区分开来。

第二个常见的攻击类型是SQL注入，它被用于访问敏感数据或运行OS命令，以进一步获取目标系统的访问权限。此外，自动化威胁、fire路径遍历以及命令注入共同构成了第二季度“最常见的5大Web应用程序攻击类型”。

研究人员还发现了攻击方式的差异。按数量计，大多数是扫描攻击，在这种攻击方式中，攻击者会使用每一种可能的易于测试的攻击来探测许多目标应用程序；此外，针对性攻击的数量也正呈现激增趋势，在这种攻击方式中，攻击者会针对个别具有高价值漏洞的高级威胁应用程序进行攻击：例如，命令注入将恶意代码置于服务器上，或者使用受损的凭据来获取管理访问权限等。

虽然这两者间看似都出于经济动机，但是通过这两种不同的方式却可以实现截然不同的攻击目标——扫描攻击实现攻击规模的广度；而针对性攻击实现攻击影响的深度。

此外，值得一提的是，TCell列出的“最常见的5大Web应用程序攻击类型”——尝试跨站点脚本（XSS）攻击、SQL注入、自动化威胁、fire路径遍历以及命令注入与开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）列出的“最常见的Web应用风险”也是截然不同，它们分别为注入漏洞、受损的身份验证、敏感数据暴露、XML外部实体漏洞以及受损的访问控制。

研究人员解释称，造成这种差异的原因在于，TCell专门考虑了生产中存在于公共云环境中的攻击和漏洞，而OWASP则考虑了更广泛的数据集，这导致了“对同一问题产生不同看法”的结果。

CVEs：普及和补丁

根据TCell的报告显示，90％的活跃应用程序中都有一个已知的CVE；而在第二季度中，有高达30%的活跃应用程序甚至还包含一个关键的CVE。研究人员在其报告中解释称，安全专家检测到每个应用程序平均有2,900个孤立路径或暴露的API端点，这暴露了应用程序存在巨大的攻击面，甚至遍布安全“盲点”。

然而，不幸的现实是，面对日益扩大的攻击面，组织用于修复漏洞的平均时长竟然高达38天之久。其中，修复最关键的CVE平均也需要34天的时间。研究人员指出，这些统计数据可能会受到组织规模的影响，因为与较小的企业相比，较大的企业通常需要花费更长的时间来修补漏洞。

报告显示，越是不严重的漏洞，其修复时间滞后越严重。一般来说，中等严重性漏洞平均需要39天才能修复；严重程度较低的漏洞平均需要54天完成修复；而最老旧的未修复CVE则需要花费近一年（340天）才能得以解决。

好消息是，这些数字正在往好的方向发展，受害者企业用于修复漏洞的时长正在大幅减少，因为越来越多的组织及其安全团队已经意识到加速推出安全补丁的重要性，其不仅能够最大限度地降低安全事件影响规模，还能帮助组织减少一大笔经济损失。

Web应用安全：企业正在做什么

研究人员指出，目前，具有前瞻性的公司正在采用与DevOps和云集成的应用安全方法。实现这一目标的技术（如RASP）仍然很新且正在不断发展演变，但其是对WAF、AST和waterfall SDLC流程的改进。

然而，大多数企业和团队尚未接受这种变化，且仍保持着落后的状态，完全没有意识到自己的安全工具和策略已经远远落后于自己部署的软件和基础设施。

更具讽刺意味的是，这些处于落后状态的企业通常都是在安全项目上花费最大的企业，但他们所取得的成效却明显低于那些采取更灵活、高效方式的同行。

公司应该充分了解自身面临的具体风险——如果你在互联网上有一个应用程序，它最终将受到攻击——并使用正确的工具和数据来实现风险最小化。