文档章节

安全防护:你是否正在追逐一个不可能实现的目标?

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/01/14 11:06
字数 1367
阅读 22
收藏 1

100% 安全的运行环境是你的奋斗目标吗?呃...那么你有可能正在追逐一个不可能实现的目标!

在如今的数字化商业世界,每一次技术的革新,都将带来安全状态的不断变化,也就是说,你的运行环境安全指数是在不断变化的。所以,在无法确保系统绝对安全的状况下,你还可以做些什么呢?

聪明的做法不应把全部的精力集中放在反击入侵者和安全事故中,而是思考使用高效的工具来处理、评估和减少风险。

正如 Gartner 在 2014 年发布的报告中预测,「安全意识应用设计、动态及静态应用安全测试和运行时应用自我保护等」,在当今充满安全威胁的数字化世界里都是不可或缺的。

这些工具会带来应用内置安全程序的新模式。安全防护边界和防火墙已经无法满足需求,每一个应用程序都需要自我意识和自我保护功能。让我们逐一进行分析一下!

安全意识应用程序

我们生活在一个令人兴奋、充满创新的时代。 X Applications 的崛起意味着全世界的天才可以在家试验应用程序,进行程序开发,这为创造与发展的史册增添了一个不断发展的活跃实例。

可问题在于,这些应用程序不一定总是尽可能安全的。这就需要,使用一些简单的修改和插件的帮助。

例如,美国国家安全局在提及群众外包的 Linux 创新应用时说道,「绝大多数」X Applications 往往是「未经修改、传统和不在意安全的」,即便是具备安全意识的 X Servers 都有其局限性。

但是,结合Windows Managers可以为制定安全决策提供指引,这正是 X Servers 所缺少的。

Windows Managers可创建可视化标签,以提醒用户哪个窗口有键盘焦点,甚至可以根据它们的安全状态创建标签。在此基础上进行修改可为 Linux 用户提高「合适的保险」,帮助安全性较低的系统提高安全性。

动态与静态应用程序安全测试

动、静态应用程序安全测试方法的结合可以更深入地了解应用安全状态,这是只依靠其中一种方法无法得到的。因为静态应用程序安全测试(以下全文简称 SAST)以由内而外的方式测试应用,而动态应用程序安全测试(以下全文简称 DAST)则以由外向内的方式进行测试,可以从多个角度评估问题。

那么,这在实际工作中意味着什么呢?

SAST 深入研究应用程序的字节代码、源代码和应用二进制来寻找漏洞。DAST 则着重检查运行状态下的应用程序。它们从不同的角度,经常是出其不意或计划之外的角度,查找可能出差错的组件。

##实时应用自我保护

实时应用自我保护(以下全文简称 RASP)的工作原理是通过自身监控以防止恶意攻击,在特定情况下自动重构,而不需要人为干预。

RASP 内置在应用程序本身,结合上下文,实时保护应用程序免受攻击,从而提供网络和端点边界之外的防护。当安全条件满足时,RASP 将接管应用程序,执行必要的保护措施,比如终止用户的会话,向安全人员发出告警,或直接关闭应用程序。

更重要的是,通过在运行应用的服务器中嵌入 RASP 功能,这些安全措施不会妨碍应用本身设计的功能。

在应用程序中引入以上自我保护措施并不能保证应用程序在安全的道路上战无不胜,但是,他们是往正确方向迈出的一大步。

原文地址 作者:Jarrod Fitzgerald

本文系 OneASP 工程师整理翻译。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
云计算风险持续升级 云安全“LEVEL UP”迈向联动防御

随着云计算技术的不断成熟以及云平台的加速落地,大量企业应用正持续向云平台迁移。迁移云平台可以提升企业IT灵活性、成本效益,推动业务创新,但同时云计算本身集中共享、按需的方式也带来全...

玄学酱
2018/03/26
0
0
【杭州】初创团队招募Web开发成员6-12K+期权

2012 有人想一起创业么?如果你想从事一件颇有挑战的事情、做出一个富有价值的互联网产品,我们非常愿意与你并肩作战,共同为一个目标而努力。 我个人从事信息安全技术研究,我们有一草根小团...

zooboa
2012/01/17
1K
9
大大大大贝壳/waf

基于NodeJS的web应用防火墙(waf) 兼顾前端和服务器端的waf,能有效抵御SQL注入攻击以及目录遍历攻击。创新点在于前端防火墙的设计及实现。 当前实现了: 基于NodeJS的代理服务器 前端防火墙...

大大大大贝壳
2015/04/02
0
0
山石网科"层层防御"理念亮相世界互联网大会

  【IT168 资讯】2017年12月3日,以“发展数字经济,促进开放共享――携手共建网络空间命运共同体”为主题的第四届互联网大会如约在乌镇拉开帷幕。山石网科作为网络安全行业的领军企业,受...

it168网站
2017/12/06
0
0
智能安全攻防升级!阿里建AI智能防御系统保障安全

大数据、计算和算法是人工智能的三大要素,如何保障数据安全和数据的清洁度,则成为提升智能产品安全性的关键因素。近日,BAT等互联网企业齐聚深圳,在2018 全球人工智能与机器人峰会(CCF-G...

华蒙
2018/07/03
0
0

没有更多内容

加载失败,请刷新页面

加载更多

云栖干货回顾 | 更强大的实时数仓构建能力!分析型数据库PostgreSQL 6.0新特性解读

阿里云 AnalyticDB for PostgreSQL 为采用MPP架构的分布式集群数据库,完备支持SQL 2003,部分兼容Oracle语法,支持PL/SQL存储过程,触发器,支持标准数据库事务ACID。AnalyticDB PG通过行存...

大涛学弟
16分钟前
4
0
TL138/1808/6748-EasyEVM开发板硬件CPU、FLASH、RAM

TL138/1808/6748-EasyEVM是广州创龙基于SOM-TL138/SOM-TL1808/SOM-TL6748核心板开发的一款开发板。由于SOM-TL138/SOM-TL1808/SOM-TL6748核心板管脚兼容,所以此三个核心板共用同一个底板。开...

Tronlong创龙
20分钟前
3
0
开普勒平台开源版

https://github.com/kplcloud/kplcloud

perofu
23分钟前
4
0
昨天,这项阿里技术再获世界级科技大奖!

第六届世界互联网大会来了!千年水乡古镇乌镇又一次吸引了全世界的目光。 昨天,阿里云自研数据库POLARDB 在会上当选世界互联网领先科技成果。POLARDB解决了企业在云时代的数据库难题,帮助企...

阿里云官方博客
24分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部