从地面上获取应用程序安全计划

IT和安全专业人员越来越关注攻击者损害了他们的关键任务申请。据最近 Ponemon学习 ,这是许多原因:更多的资金用于保护网络,在新应用程序的开发期间没有充分强调安全性,并且往往忽略了,许多人无法快速检测漏洞和威胁,并在生产中快速进行补丁。

应用安全计划

“应用安全在Cisos上传统上非常低’优先级列表但是,随着攻击目标应用程序的频率增加,它’越来越受到关注, ”Eugene Dzihanau,技术解决方案高级总监 EPAM系统 ,告诉净安全。

“应用层很快就会变得更加暴露于外界,从而大大增加攻击表面。应用程序部署在公共云,移动电话和IOT设备上。此外,应用程序处理的数据比以前更多,使它们更频繁地进行攻击。”

除此之外,现代应用和技术堆栈还在发展,变得越来越复杂–应用程序正在集成更多外部依赖项,并且通过API调用变得非常互连。增加的复杂性显着增加了安全问题的机会。

挑战

像水一样,攻击者总是试图找到最小阻力的路径。它们不应该令人惊讶的是,而不是试图通过基础架构方面的复杂防御,他们探索了Web,移动应用程序和Web服务中的漏洞。

让’s take as an example 一个api暴露 到互联网和一个调用它来显示用户投资组合位置的移动应用程序。潜在攻击者可以通过使用特制参数/有效载荷执行API调用来利用漏洞,这可能导致注射攻击并导致攻击者获取敏感数据(例如,财务信息)或执行未授权的操作(例如,传输金钱到由攻击者控制的银行账户)。

在许多情况下,Dzihanau注意到,这种行动难以区分典型的应用程序使用。

但是’s just one example –有许多类型的应用程序漏洞和相关的利用方案(如划定的) OWASP前10名Web应用风险SANS前25个最危险的软件错误 )。

Dzihanau,他们已经花了二十年作为一个具有特殊兴趣的全堆叠软件开发商,具有特殊兴趣的工程卓越,非功能性要求和安全,以及过去五年来转移他对安全方面的关注,表示组织正在开始理解这一点只是做斯致和达斯还不够。

“SAST扫描结果是巨大的,很少有内容对临界或利用漏洞的优先考虑修复。 Dast很少带来所需的结果,无需额外步骤;开箱即用的爬虫可以很少遍历现代Web应用程序,” he explained.

“这在部署管道安全性中留下了耀眼的差距,架构级别和第三方/开源依赖关系检查的安全缺陷。”

他还指出,不建议分离应用程序安全域–最好将应用程序和云基础架构安全性在一起,全面(现代微服务和无服务器架构是好的例子)。

“许多组织已经实施了一些自动化扫描,并在现在的投资组合中获得了漏洞数量的可见性。这导致了最多的实现‘exciting’部分是修复和缓解活动,” he added.

“不幸的是,自动化不是一切,开发人员需要获得必要的知识并使他们日常工作的安全部分。不仅在测试期间,而且需要在设计开发和部署中不断解决安全方面。虽然符合设计和换档的术语安全是众所周知的,但是组织只开始意识到这种改变和含义这会给开发过程带来什么。”

设置成功的应用程序安全计划

应用安全很难正确,但Dzihanau提供一些将其拉出的提示。

首先是从组织的顶部没有大推动的情况下,这是不太可能的努力将成功,因为它会影响整个企业。因此,强大的执行支持是必须的。

下一页:程序不能仅由安全团队驱动或在筒仓模式下执行。

“通过安全团队找到漏洞的传统方式并由开发团队修复它不会工作。反馈周期需要非常快捷,协作关闭,” he explained.

“让我们以持续的送货方式为例。它显着缩短了导致改变和生产释放之间的时间,但安全人员需要了解应用程序的发展和其他方式。混合技能是必不可少的,安全质量盖茨对成功至关重要。”

还需要提前回答的问题是开发团队成员允许在学习安全问题和修复安全问题的情况下是多少时间?

“人们应该专注于改变行为的人们密切关注漏洞数量。获得开发人员来解决漏洞需要很大努力。一旦申请团队连续地完成,修复(或者更好地,首先介绍)的修复(或者更好地介绍)开始如此容易” he added.

最后,负责申请安全的组织内的人必须考虑到这一想法:这是一个长途旅程,最好从可实现的目标开始。

“安全团队太多时代坚持修复所有漏洞,无论优先还是了解涉及的遗留代码,而且几乎所有组织都将其设置得太高。”

分享这个