网络安全升级的紧迫性

关键要点

• 2021年网络攻击激增，数据泄露事件增加了68%。
• 政府在网络安全上采取了如OMB备忘录和行政命令等多项措施以应对软件安全威胁。
• 传统的安全措施已经无法适应现代需求，需要技术现代化。
• 改进的工作流程和工具整合能够提高效率，降低成本，并营造良好的安全文化。

2021年对网络攻击而言是标志性的一年，报告的泄露事件增加了68%。创纪录的1,862起数据泄露事件让往年相形见绌，尤其是考虑到像这样的重大事件使得众多公共和私营部门组织不得不紧急强化其供应链安全。网络攻击持续增多，防御难度加大，那么为什么安全技术的采纳进展缓慢呢？

政府采取了一系列措施——如新的和关于网络安全的——旨在应对软件安全威胁，并提前防范可能引发的有害数据泄露。然而，公共部门改善安全态势的道路显得陡峭而曲折，特别是当各机构仍依赖过时的遗留系统和工具时，这些旧系统往往阻碍了现代网络应用安全的实施。

十年前有效的安全措施如今已经无法满足机构保护信息、预防泄露和攻击、以及利用尖端技术为安全流程做好未来准备的需求。最近，我与美国交通部前首席信息官（CIO）RyanCote进行了深入交谈，以探讨各机构在安全软件时面临的障碍，并了解他们为何需要认真对待现代化。

数据泄露的长远成本

预算不足可能会轻易让应用安全项目被搁置，即使是在政府机构中。然而，当最坏的情况发生而你却没有做好准备时，数据泄露和网络攻击的成本可谓不菲：根据IBMSecurity的，2020年至2021年间，公共部门数据泄露的平均成本飙升至193万美元。网络攻击的急剧增加与财务压力的加大意味着，将部分预算投入安全领域显得尤为重要。

伴随着一个明显的数字靶子放在的面前，其中一部分关键在于投资于一个综合平台，以便在开发生命周期的每个关键阶段扫描你的软件。尽管让利益相关者就这一投资达成一致本身可能是一项挑战，但不愿意投资现代应用安全的后果则可能令各机构后悔莫及。

新技术的采纳需要时间

正如Ryan所指出的，政府机构构建应用程序有时需要多年时间，这正是追赶现代技术的难题所在。这意味着在实施过程中，对于某些机构来说可能会遇到更多障碍，特别是当工具需要大量的设置时间或调整时。各机构需要的解决方案是能够很好地融入现有工作流程的，这样开发人员和安全专业人士才能在第一天就开始进行扫描。

在软件开发中，速度是一项至关重要的因素。而将安全工作“左移”能够减轻负担。采纳现代应用安全工具帮助各机构在开发过程中更早地整合准确的自动化安全检查，从而节省时间和减少繁琐的手动操作。当工具直接融入现有的工作流程和流程中时，开发人员能够更快起步，同时降低了采纳的障碍。

整合工具节省时间，保持透明

正如Ryan所说，政府机构中普遍存在“过时的遗留解决方案，这些解决方案尝试在应用安全方面完成相同的任务，比如漏洞扫描。”通过转向