通过对3.16亿多个安全事件的分析发现，针对网络安全最常见的攻击类型正发生在AWS和Azure云生态系统研发的网络应用程序中。检测网络应用程序受攻击趋势的最新报告显示，一般机构平均需要一个多月的时间才能修补其最关键的漏洞。

以上信息来自TCell公司今天发布的2018年第二季度《研发中的应用程序网络安全报告》，研究人员在分析了其客户群中超过3.16亿次的安全事件后，有了一项重要发现，那就是针对网络安全的常见攻击类型正发生在AWS和Azure正研发的网络应用程序中。

TCell联合创始人兼首席执行官Michael Feiertag解释说，

这份报告于去年首次发表，当时报告中就强调了攻击者们有很高的概率攻破网络安全的防线，攻击者们会使用自动化程序捕获应用程序中的弱点，继而使网络应用程序频繁受到攻击。

他继续说道，

今年我们评估了上一季度的数据，以了解从应用程序里有权使用安全数据是如何提升安全团队的保护能力的。我们发现拥有这些安全数据的安全团队在漏洞补救措施上取得了一定的进步，他们利用这些数据增强了与开发人员和同行间的协作，还帮助那些应对能力不强的公司，解决他们的燃眉之急。

研究人员总结了两种针对网络应用程序的主要攻击方式。一种是针对用户的跨站脚本攻击（XSS）。研究人员指出，大多数XSS只是试图攻击，很难成功。去年，1200次XSS的攻击中只有一次获得成功，因此很难将真正有威胁性的攻击行为从XSS中区别开来。

第二个最常见的攻击方式是SQL注入(SQL Injection)，它被用来访问敏感数据或以通过操控OS命令的方式进一步访问目标系统。自动化攻击、目录遍历攻击和命令注入组成了第二季度最常见的五大网络应用程序攻击的剩余三项。

Feiertag说，

攻击方式是有差异的。大多数攻击都是扫描漏洞攻击，不针对特定应用程序，攻击程序在进攻前会对应用程序进行“是否容易被攻击”的测试。另外一种是针对特定应用程序的攻击方式，研究人员注意到了该攻击类型数量上的激增，这类攻击往往会针对那些高价值程序的漏洞，用更为先进的手段进行攻击。例如，将恶意代码注入服务器的命令之中或破坏证书以获取管理访问权限。而不管是什么方式，攻击者的目标几乎都是为了利益。

TCell列举的最常见的五种攻击方式，与web软件安全计划（OWASP）所列举的并不相同，后者是注入式攻击（Injection Flaws）、破坏身份验证、暴露敏感数据、XML外部实体以及破坏访问控制。Feiertag解释说，造成这种差异的原因是tCell更关注存在于公共云环境中的攻击和漏洞，而OWASP则考虑了更广泛的数据集。

通用漏洞披露（CVE）：存在广泛和修补情况

根据TCell的报告，90％的活跃应用程序有一个已知的CVE，而到了第二季度时，30％则会有一个危险的CVE。专家们在他们的报告中解释说，每个应用程序平均能检测到2,900个孤立路径或暴露的API端点，这意味着会造成一个安全的“盲区”——无法被当前应用程序所涵盖到的攻击面。

无论漏洞严重程度如何，一个机构平均需要38天才能将其修补，而修补最严重的CVE平均需要34天。研究人员指出，这些数据的统计结果可能会受到机构规模的影响，大企业需要比小的企业花费更长的时间来修补漏洞。

漏洞越小，需要修复的时间范围越长。中等程度的漏洞平均需要39天才能修补，小程度的漏洞修复缺陷平均需要54天，而最久的、从未被修补过的CVE则需要将近一年的时间（340天）来解决。

Feiertag说，

修复情况正在得到改善。我们已经看到我们的客户大大减少了他们修复漏洞上所花费的时间，他指出，安全团队越来越意识到需要快速推出补丁的重要性。

网络应用安全：各家公司是怎么做的

Feiertag表示，具有前瞻性的公司正在采用DevOps与云计算相结合的安全方法——比如RASP就能够实现这一目标，它相比WAF，AST和瀑布SDLC流程，在技术上更新且发展迅猛。

然而，他继续说道，许多团队和公司都没有接受这种新变化，他们的安全工具和策略已经持续落后于他们的软件和基础设施水平。

Feiertag说，

具有讽刺意味的是，那些通常在安全上花费最多的公司，所取得的成果往往低于比他们更灵活高效的同行。

他建议，公司要了解他们的具体风险 —— 只要你在互联网上有一个应用程序，无论如何它都会受到攻击。所以，请使用正确的工具和安全数据来使风险降到最低。