应用安全
由于安全管理不善所引起的那些风险再也不能仅仅通过一些数字来进行彻底的了解,这些数字通常未涉及实际的量子损害及其连锁反应。在疯狂追赶上市时间的压力之下,应用开发者可能没有全面考虑数据安全和用户隐私,只给企业提供了初级的临时预防威胁的工具。当边界安全在应用层激发了不安全的代码,运行时安全只是更进一步地重现这种攻击。这场混乱之后,应当如何阻止应用安全消失在众所周知的百慕大三角中,即范围、进度和预算?现在,让我们了解一下常见的应用安全风险以及降低风险的方法:
风险:安全人员对运行时监控工具的支持不足
当令人费解的网络边界理念开始被视为异想天开,不切实际时,运行时应用自我保护就产生了,安全公司也下决心把防御层从边界转移到主机。不过 RASP 只能处理像 CSRF 和 SQLi 这些小范围的网络应用漏洞,开发者也可以不费吹灰之力地解决这些相对较小的威胁。
对于 RASP 和 WAF,更大的问题在于他们缺乏漏洞校正功能。本质上来说,他们所做的就是设立临时障碍,而后者会成为检测漏洞的“依托”。若这种依托和临时修复未能得到记录与保存,且未能传到 IT 经理和高管那里,那么,随着时间的推移,他们可能就被忽视了。因为在大家的印象中,这些漏洞已经得到修复。
你能做什么: 企业需要把安全渗透到开发团队的核心,更精确地说是让它成为 DevOps 的关键策略。可以寻求安全态势分析师的帮助,他们会协助你制定详尽的计划和政策来管理补丁,记录日志和生命周期文档。这将能使你的企业知道哪种解决方案最适合你的业务线、端点、平台、规模以及品牌形象意识。
风险:目光短浅的计划
RASP 和 WAF 二者都是仅仅在应用的核心增设一层防护,并没有帮助构建安全的应用程序。企业迟早都得面对这个艰难而又迫在眉睫的决定:是购买一个 RASP 补偿控制扩展程序以实现零日漏洞,还是从开发人员处寻求修复方法。中小型企业在权衡妨碍业务连续性与部署成本时,往往难以作出抉择。
你能做什么:设法充分预见长期利益,全面了解安全实现、产品及工具的局限性。详尽的威胁侦测,除了能保持企业对具体情境中的漏洞感知,也对防御战术进行了重点分析,并对威胁源与危险行为做了阐释。因此,缺少此类侦测的风险缓解计划是不够完整的。
风险:全权委托运行时监控
运行时安全设计的目的在于阻止实时攻击,但极易产生误报。他们会把不常见的流量当成异常流量,阻止代码执行,从而破坏数据可用性——最终造成给各种各样的 DoS 自身攻击。WAF 的智能之处尽在其签名基类和模式匹配资源,但 WAF 并不知道应用程序如何处理用户的输入,它只知道阻止“似乎”是恶意的输入。你可能已经猜到,黑客可以制造更巧妙的攻击,这些攻击伪装成为无害的请求来欺骗 WAF 过滤器。
你能做什么:基本思想是人与技术保持同步。工具容易产生误报,且不能独自决定如何采取行动。安全专家需要不断地对工具进行监控,以解释复杂攻击的本质并将其从常规的性能测试流量中区分出来。
还有一个重要的结论是,尽管 RASP 可以使你的应用具备自我保护能力,但这也意味着它能诱使黑客深入存储栈,而可能还存在其他将黑客锁定在网络边界外部的方法。这种情况就需要安全顾问的指导,他会灌输鲁棒文化,通过多层安全基础措施来防止你的预算向单一且明显不严密的防御机制倾斜。
安全状态评估,从协助开发安全代码着手,通过一个成熟的风险管理计划,并以客制化的威胁分析作为强大后盾,给你带来各种好处。安全工具或许可以找出并阻止某些预定义的活动,人为渗透测试却可以打破陈规,并模仿那些尽其所能躲避标准入侵预防签名的攻击者。
原文链接:http://blogs.alephtavtech.com/application-security/avoid-these-application-security-risks/
本文转自 OneAPM 官方博客
