作者：派拓網絡產品管理副總裁Sarit Tager

　　如今，幾乎所有企業都在云端運行，并且AI還在進一步推動該趨勢。預計全球公有云服務支出今年將大幅增加至7.234億美元，較2024年增長21%。這主要是由于全球云原生應用數量快速增加至7.5億，而AI的引入無疑將進一步推動云快速增長，使軟件開發效率和速度提升20-50%。

　　盡管使用云的優點不言而喻，但安全問題也迫在眉睫。高達74%的云安全事件由不安全的代碼引發，因此落實強大的安全措施非常重要。AI生成代碼的普及和加速增長進一步加劇了安全風險，企業需要采取以預防為先的應用安全策略，防止這些風險演變為實際威脅。

　　令人欣慰的是，64%的安全決策者計劃今年增加應用安全預算，但單純增加支出并不能確保提高安全性。預算的戰略分配也很關鍵，企業需要將重點轉向以平臺為中心的應用安全策略，以便在風險進入生產環境前予以有效解決，進而實現投資回報(ROI)最大化。

　　如何應對應用安全市場的碎片化問題

　　目前的應用安全市場高度碎片化，許多企業在應用安全測試(SAST、DAST、IAST)、軟件組成分析(SCA)、軟件供應鏈安全等方面選擇不同的工具和廠商。盡管這些工具的確發揮了重要作用，但它們的孤立性導致效率低下、盲點和各自為政。

　　更糟糕的是，由于安全團隊必須從眾多應用安全工具中整合背景信息才能構建風險源頭的完整圖景，這個問題極大延長了云風險的解決時間。從發現問題到修復和恢復平均需要120天。方法不統一使得安全團隊難以發現并修復生產環境中的風險，導致漏洞和運營開銷增加。所以關鍵在于將這些能力整合成一套連貫的安全策略，以便為應用程序提供一致、強大的全生命周期安全防護。

　　通過平臺化策略實現應用安全功能的統一

　　有效利用應用安全預算的關鍵在于落實平臺化策略，通過一個集成安全平臺將關鍵應用安全解決方案整合到統一架構中，省去管理各種不同安全工具的繁瑣。

　　統一云安全平臺能夠：

　　?    進行集中監視和控制：通過統一的儀表板實時洞察應用生命周期各階段的安全風險。

　　?    自動檢測和響應威脅：AI驅動的安全分析功能持續監視應用是否存在漏洞和配置錯誤。

　　?    與DevSecOps工作流無縫集成：與持續集成/持續交付(CI/CD)管道一致的安全解決方案可在開發早期階段發現并消除風險。

　　?    背景驅動的洞察：無縫連接從代碼到云再到安全運營中心(SOC)的關鍵背景，使安全團隊能夠精準、快速地優先處理真正重要的事項。

　　通過將安全功能整合到一個平臺，企業可以增強防御能力，更快地修復風險，同時還能提高運營效率和實現安全投資回報的最大化。

　　轉向以預防為先的理念

　　此外，統一平臺有助于企業轉向以預防為先的理念。傳統安全策略通常在威脅已滲透生產環境后才注重檢測和響應，但此時漏洞可能已被利用，并導致代價高昂的數據泄露和違規。

　　以預防為先的策略強調：

　　?    在部署前消除風險：在軟件開發生命周期的早期階段進行安全測試有助于防止漏洞擴散。

　　?    強制執行開發防護措施：在開發工作流程中自動執行安全策略能夠在符合最佳實踐的同時，不影響創新速度。

　　?    追溯風險至代碼源頭：持續進行精準更新，從代碼源頭徹底解決問題。

　　統一安全平臺將預防而非應對放在首位，極大降低了企業發生安全事件的概率，更加有效地保護了應用程序和客戶數據。

　　適應不斷變化的云安全環境

　　隨著云應用持續加速發展，企業需要領先于新型安全挑戰。采用以預防為先的平臺化安全策略能夠為有效抵御現代威脅奠定良好的基礎。

　　首席信息安全官(CISO)應確保日益增加的預算用在能夠帶來實際價值、提升安全性和簡化運營復雜性的解決方案上。采取集成應用安全策略不但能幫助企業應對風險，還利于培養有助于長期業務增長的安全韌性文化。

　　在數字化快速發展的時代，保護應用安全已成為一項必須滿足的基本要求。投資全面的平臺化安全解決方案有助于企業保護其重要的數字資產，同時滿懷信心地迎接未來的云計算。