应对网络攻击：安全测试的重要性

关键要点

• 网络安全形势严峻 ：网络攻击日益增加，罪犯专注于获取重要数据。
• 安全测试至关重要 ：企业需要全面、自动化地进行安全测试，以消除漏洞。
• 扫描频率显著上升 ：自2019年以来，扫描频率提升了50%，企业和中小型企业扫描的次数大幅增加。
• 漏洞情况变化 ：尽管严重漏洞的发现有所下降，但某些漏洞仍然上升，如远程代码执行（RCE）和SQL注入。
• 不同行业差异 ：制造业在扫描频率方面表现突出，其扫描频率是其他行业的三倍，与疫情后数字化转型密切相关。

在持续的网络攻击背景下，犯罪分子对关键收入数据的攻势愈发猛烈。各组织在加强其网络应用程序和API的安全性时，必须同样坚定不移，以避免成为这些攻击的牺牲品，首要任务便是消除和防范漏洞。在这方面，持久、准确且完全自动化的安全测试至关重要。我们在Invicti反复强调这一口号多年，但如今我们有数据证明其有效性。

扫描频率自2019年以来上升50%

根据2019年至2022年的数据对比，Invicti客户的扫描次数达到了前所未有的水平，平均每月进行73次扫描，较2019年的约49次有所增加。尤其是在企业客户和中小企业（SMB）之间，该趋势更为明显，企业的扫描次数提升了41%，而中小企业则大幅上涨83%。

Invicti的数据显示，更多的扫描频率与扩大测试覆盖面相结合，意味着风险降低，客户开始超越仅覆盖其业务关键应用程序，全面审查整个攻击面。

值得一提的是，扫描频率提高的一个积极子趋势是，Invicti客户现在在每次扫描中发现的严重漏洞数量变得更少。尽管每年严重和高严重性漏洞的总数在增加，但2021年至2022年间，每次扫描中发现的严重缺陷比例下降了19%。这表明了应用安全（AppSec）程序的整体成熟，动态应用安全测试（DAST）在软件开发生命周期中的整合，帮助整体降低风险。

严重漏洞的发生率略有下降

通过对每年监测的几种核心漏洞的调查，发现了一些令人担忧的趋势。我们欣慰地看到，跨站脚本攻击（XSS）的发生率从2021年至2022年下降了12%，但是，远程代码执行（RCE）增加了40%，SQL注入更是上涨了91%。不过总的来说，严重漏洞的比例降低，表明客户在逐步采用DAST并提升其安全程序的有效性。

最值得注意的是，在2021年最后一个季度至2022年第一季度期间，我们看到的关键和高严重性漏洞激增，可能与组织在寻找Log4Shell时的扫描增加有关。这一趋势是积极的，表明我们的客户每日运行的AppSec程序的成熟，他们能够迅速应对和扫描其应用程序，及时应对Log4j库中的潜在安全问题，之后又能快速恢复到正常业务。

制造业扫描频率突破

随着扫描频率的提高，各组织发现并修复越来越多的高危和关键漏洞，我们还在特定行业找到了令人鼓舞的趋势。消费者、医疗保健和科技等行业在2021至2022年间都显著增加了扫描次数，这表明随着全球数据隐私和安全法规的落地，更多成熟的安全程序正在形成。

然而，真正的明星是制造业，其扫描频率是其他行业的三倍。虽然研究表明，制造业通常在网络安全方面的IT预算支出低于其他行业，但我们知道，许多Invicti的制造业客户已经拥有成熟的安全程序。扫描频率的增加与疫情驱动的技术转变直接相关，反映出努力保护一个日益数字化和连接的行业。Akamai最新的[