企業應用程式安全的新 守護神

2021-09-23 23:21:22 字數 2728 閱讀 5630

1.企業的應用程式組合數量龐大、複雜且笨重,對業務影響極大

不管從哪個方面來看,應用程式組合對企業實現戰略業務目標都至關重要。

然而,典型的企業應用程式組合又總是數量龐大、複雜而且笨重。企業應用程式的數量與複雜程度包括以下幾方面:

這裡最重要的啟發是,按照定義來說,企業的應用程式檔案對組織實現戰略商業目標至關重要——然而隨著時間推移,這個檔案必然會變得越來越龐大,越來越複雜。

2. 這就讓犯罪分子有了可乘之機:為什麼你的企業應用程式會遭到攻擊?

這個觀點在 verizon 發布的《 2015 年資料洩露調查報告》中得到了驗證。經分析,過去十幾年來超過 90% 的資料洩露事件所用的攻擊方法只有九種——而且在這期間導致資料洩露最多的攻擊方法就是攻擊**應用程式。

表1:已確認的資料洩露事件,2006-2023年

攻擊型別

確認數量

網路應用程式攻擊

458 (26%)

銷售點入侵

419(24%)

網路間諜

290(17%)

犯罪軟體

287(17%)

內部誤用

129(7%)

信用卡盜用

108 (6%)

盜竊35(2%)

其它錯誤

11 (1%)

合計1737(100%)

在表 1 所示的同乙個時間段內(2006-2023年),一共有 60879 家企業加入了國家漏洞資料庫,因此安全意識並不是問題所在。真正的挑戰在於搞清楚應該做什麼,說服其他人這麼做是值得做的,真正去做——並且在飛速變化的環境中堅持不斷去做!

目前的 20 個關鍵安全控制(5.1版)還帶來了8個更高階別的要求,aberdeen 已經將其修訂成適用於應用程式安全問題的內容:

了解在你的網路環境中有哪些應用程式

確保你的應用程式得到安全配置

確保你的應用程式安裝補丁,並及時更新

備份並保護你的重要資料

保護你的網路

管理你的使用者、使用者賬號以及他們對企業應用程式的訪問

注意周圍環境發生的變化

時刻準備著對出現的問題進行響應

3. 確保企業應用程式安全的三個策略以及乙個新的備選方案

這些**中不可避免地遇到的問題可以最終歸結為安全、商業目標、整體成本以及某種程度上的管理哲學等問題的集合。

策略描述

技術例證

搜尋和修復嘗試識別目前開發的應用程式中的安全漏洞(一般由安全團隊完成),然後由開發團隊解決。

-網路漏洞掃瞄

-應用程式發現

-應用程式漏洞掃瞄

-滲透測試

-道德攻擊

防禦和延遲增強目前開發的應用程式的安全性,減少或延遲需要開發團隊解決的安全漏洞。

-網路應用程式防火牆 (waf)

-應用級**

-網頁安全(網頁監控/過濾)

-虛擬批處理

-實時應用程式自我保護 (rasp)

根源保障將安全測試實踐、工具和測試加入軟體開發生命週期 (sdlc),在應用程式部署之前消除更多安全漏洞。

-源**審核(手動)

-軟體測試(包括單元測試、功能測試、效能測試、驗收測試和安全測試)

-源**分析和驗證(包括靜態、動態和互動)

-第三方應用軟體測試

rasp 的概念是把安全保護**內嵌(或者有時候被稱為安裝)到某個應用程式的執行環境,實時提供該應用程式詳細可見的收到的請求。關鍵點是,這種可見資訊來自應用程式本身,而不是來自網路的變化。

另外,rasp 技術是被設計用來分析應用程式本身的流量和上下文,以區別於正常的應用程式行為和危險行為。

在這些效能的基礎上,rasp 提供的正是 aberdeen 在《putting threat intelligence in perspective 》(2023年12月)中**的威脅情報,它具有至少四個顯著特點(表3)。

表3:威脅情報的四個特點及其在 rasp 中的體現

危險情報特點與描述

實時應用程式自我保護 (rasp)

來自合格可信的第三方**。考慮基礎設定防護的水平和複雜程度,資訊優勢是防衛者打敗攻擊者的最佳方式。

在 rasp 模式下,資訊**是企業自己的應用程式檔案。

提供主動攻擊活動的洞察力。我們已經擁有的大量潛在威脅、漏洞、利用資訊,與主動攻擊活動的實際「誰、什麼、**、何時和如何」資訊有很大的不同。

rasp 的設計目的是為內建 rasp 的企業應用程式提供主動攻擊的「誰、什麼、**、何時和如何」資訊。

為組織風險提供獲取相關見解的方法。在我們的組織的特定語境下,風險總是具備相似性和商業影響的作用。情報結合自知之明是確定正確、基於風險的行動的唯一方法。

在 rasp 模式下,組織明白他們在管理真正的應用程式攻擊,而不是管理漏洞帶來的後果以及未來應用攻擊的可能性。待修復漏洞的優先順序和理由就會變得清楚明確。

包括活動或額外幫助的選項。獲取情報很重要,但是在需要的時候能夠具備能夠有效響應的知識和能力更為關鍵,這樣才能獲得情報的真正價值。

rasp 的設計目的是實時消除惡意應用程式行為,並發出警報來提醒組織優先處理關鍵事務。

如果你所在的組織機構還未採用 rasp 來維護應用程式安全,以下分析強烈建議你們主動考慮採用這種新的備選方案 rasp。首先,需要評價的邏輯維度包括以下幾點:

中機智庫乾貨 雲計算,企業大資料的守護神

雲計算是順應時代發展的產物,通過網際網路的超級計算能力成為可能,企業和個人使用者不用再費時費財地去置備昂貴的硬體設施,只需購買或通過網際網路租用計算能力即可。可以說,雲計算 給了我們乙個偉大的機會,它降低計算成本,讓享受資訊革命的成果盡可能覆蓋到每乙個人,使得資訊和知識得以有效分享。大資料時代下,企...

維護ASP應用程式的安全

千萬不要輕視正確配置安全設定的重要性。如果不正確配置安全設定,不但會使您的 asp 應用程式遭受不必要的篡改,而且會妨礙正當使用者訪問您的 asp 檔案。web 伺服器提供了各種方法來保護您的 asp 應用程式免受未授權的訪問和篡改。在您讀完本主題下的安全資訊之後,請花一定的時間仔細檢查一下您的 w...

企業應用程式的最佳開源替代

經濟危機之下,2009年的it預算顯然要砍掉許多,也許你需要重新考慮購買何種企業應用軟體,這篇文章介紹了25款最佳的開源替代 color red b 生產力軟體 b color url office url 當仁不讓的替代ms office,color red b 客戶關係管理軟體 b color ...