摘要:是一个有趣的实例,他们使用的是自动化技术,同时结合了自动化工作流程进行人工检查,从而保证零误报率,且业务逻辑测试达到的类覆盖率。
而今,大多数应用都依赖于像入侵防护系统(Instrusion Prevention System)和 Web 应用防火墙(Web Application Firewall,以下全文简称 WAF)这样的外部防护。然而,许多这类安全功能都可以内置到应用程序中,实现应用程序运行的自我保护。
1. 实时应用自我保护实时应用自我保护(以下全文简称 RASP),是一个应用程序运行时环境的组成部分,它可以实现为 Java 调试界面的扩展。RASP 可以检测到应用程序在运行时试图往内存中写入大量数据的行为,或者是否存在未经授权的数据库访问。同时,它具有实时终止会话、和发出告警等功能。WAF 和 RASP 的合作相辅相成,WAF 可以检测到潜在的攻击,而 RASP 可以通过研究应用内部的实际响应数据来验证潜在的攻击是否具有威胁性。
毋庸置疑,内置于应用程序的RASP,比那些只能获取 App 有限的内部进程信息的外接设备更加强大。
2. 协同安全智能说到协同安全智能,笔者认为协同安全的意义是不同应用安全技术间的协作或集成。
动态应用程序安全测试(以下全文简称 DAST) + 静态应用程序安全测试(以下全文简称 SAST):DAST 不需要访问代码并且易于实现。另一方面,SAST 需要访问代码,但是对应用程序的内部逻辑了解更为深入。这两种测试技术各有利弊,但是两种测试结果的关联和结合,能极大提高安全测试的价值:即他们不仅可以降低误报率,也可以发现更多安全漏洞,从而提高测试效率。
SAST + DAST + WAF(即静态 + 动态应用程序安全测试 + Web 应用防火墙):这个组合可以把 SAST 或 DAST 技术检测到的安全漏洞提供给 WAF 作为输入信息。这些漏洞信息可以用来创建特定的规则集,从而 WAF 甚至可以在修复方案实施之前制止漏洞带来的攻击。
SAST + DAST + SIM / SIEM(安全事故管理/安全事故事件管理,以下全文对应简称 SIM 或 SIEM):通过 SAST 或 DAST 检测到的漏洞信息对于 SIM 或 SIEM 的关联引擎是非常有价值的。这些漏洞信息可以提供更加准确的漏洞关联信息和攻击监测。
WAF + RASP(即 Web 应用防火墙 + 实时应用自我保护):WAF 和 RASP 的作用是互补的。WAF 提供的信息可由 RASP 验证,从而帮助提供更精确的侦测信息,并预防攻击。
「大一统」:最后终有一天,以上提及的所有检测手段,甚至更多手段,都可以组合在一起供企业使用,实现「真·安全智能体系」。
3. 混合的应用程序安全测试笔者认为,这里「混合」的意思是用一种结合自动和人工测试的方式「超越安全顾问们可以做到的极限」,以此实现更高的扩展性、更准确的可预测性和更高的成本效益。
DAST 和 SAST,两者都有自身的局限性。其中,两个主要的问题是误报率和业务逻辑测试。网络测试只需在一段已知的代码中发现已知的漏洞,然而和网络测试不同的是,应用程序测试面对的是未知代码。这使得漏洞侦测模式变得非常不同,更加难以实现自动化测试。所以,你只好从安全咨询人员或内部安全专家处获得最好的解决方案。然而,这种模式不具备可扩展性。比如,世界上有超过十亿个应用程序等待测试,在这种情况下,地球上并没有足够多的专家进行测试。
其实,这不是一个关于「人类 vs. 机器」的问题,而是关于「人类和机器」的问题。未来的趋势是自动化和人工验证的智慧结合。iViZ 是一个有趣的实例,他们使用的是自动化技术,同时结合了「自动化工作流程」进行人工检查,从而保证零误报率,且业务逻辑测试达到 100% 的WASC 类覆盖率。事实上,iViZ 收费固定,并且提供无限制的应用程序安全测试服务,而其边际利率高于市面上其他 SaaS 企业的平均水平。
4. 应用程序安全作为服务笔者相信「服务化 -aaS」模型的理由很简单:我们之所以需要技术并不是为了技术,而是为了解决问题。换句话说,我们需要的是解决方案和服务。随着人们越来越注重「核心竞争力」,大家感到获取服务比购买产品更有意义,「帮你搞定」比「你自己动手」更有意义(当然,也会有些例外)。
现在我们有 SASTaas、DASTaaS 和 WAFaaS。几乎所有事情都可以服务化。事实上,Gartner 已经为「应用程序安全即服务」创建了多带带的技术成熟度曲线。
应用程序安全作为服务有许多好处:降低固定运营成本,帮助专注于核心竞争力,解决人才获取和留存的问题,降低运营管理费用等更多的益处。
5. 安全产品开发生命周期(SDLC)之外:在安全线程上集成开发和运维现在,是时候考虑安全产品开发生命周期以后的问题了。曾几何时,我们看到许多力量都在推动安全和软件开发生命周期的结合,笔者相信,这个行业已经取得了一些不错的进展。未来的趋势仍是这样,但是是从结合「安全 + 开发 + 运维」的角度去做。设计、开发、测试直到生产、管理、维护和运维,这一整条线索,应该无缝地与重中之重——即安全,密切结合。现今,开发与运维之间仍有一条「安全之路」要走,然而这条「路」将随安全生命周期的日趋集成化而渐渐模糊。
原文地址:http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11174.html
摘要:年月国产数据库流行度排行榜前名达梦本月分数下跌,总分,位于榜单第二位。人大金仓保持增长态势,本月分数大幅上涨,总分,位于榜单第九位。达梦入选其中,位列总榜第国产数据库第。月日,人大金仓与天津科大正式签订联合人才培养协议。2021年11月国产数据库流行度排行榜前15名 达梦本月分数下跌10.88,总分467.45,位于榜单第二位。作为具有完全自主知识产权的国产数据库厂商,今年达梦的...
摘要:显而易见,在世界范畴内云计算市场存在着马太效应,强者恒强。在这场云计算领域的商业战争中,科技巨头一骑绝尘,率先摘取胜利果实。这是一场注定被载入史册的战争,它不仅关乎这些参与者的生存状况,还将极大程度影响人类技术发展的未来走向。这也是一场终究无法被避免的战争,市场裹挟技术发展来到时间的十字路口,往左走和往右走必须要做出选择。同时,这还是一场规模空前的商业战争,技术发展议题的决定权几乎完全交到了...
摘要:活动主题软件技术开放日活动时间年月日活动地点上海浦东新区张江高科技园区纳贤路号科荣大厦小楼楼面向对象测试经理测试总监质量总监数据科学家架构师等。每年超过家技术型企业续单参与旗下公开课工作坊案例研究国际游学等培训项目。 showImg(https://segmentfault.com/img/bVzjRh); 活动主题:HPE&msup 软件技术开放日 活动时间:2016年7月22日 9...
阅读 2364·2021-11-17 09:33
阅读 1069·2019-08-30 15:55
阅读 988·2019-08-27 14:26
阅读 1523·2019-08-26 10:21
阅读 3268·2019-08-23 18:28
阅读 3280·2019-08-23 15:38
阅读 492·2019-08-23 15:24
阅读 2012·2019-08-23 13:59
