文档章节

应用安全技术趋势之 Top 5

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/01/15 14:44
字数 1747
阅读 26
收藏 0

而今,大多数应用都依赖于像入侵防护系统(Instrusion Prevention System)和 Web 应用防火墙(Web Application Firewall,以下全文简称 WAF)这样的外部防护。然而,许多这类安全功能都可以内置到应用程序中,实现应用程序运行的自我保护。

##1. 实时应用自我保护

实时应用自我保护(以下全文简称 RASP),是一个应用程序运行时环境的组成部分,它可以实现为 Java 调试界面的扩展。RASP 可以检测到应用程序在运行时试图往内存中写入大量数据的行为,或者是否存在未经授权的数据库访问。同时,它具有实时终止会话、和发出告警等功能。WAF 和 RASP 的合作相辅相成,WAF 可以检测到潜在的攻击,而 RASP 可以通过研究应用内部的实际响应数据来验证潜在的攻击是否具有威胁性。

毋庸置疑,内置于应用程序的RASP,比那些只能获取 App 有限的内部进程信息的外接设备更加强大。

##2. 协同安全智能

说到协同安全智能,笔者认为协同安全的意义是不同应用安全技术间的协作或集成。

动态应用程序安全测试(以下全文简称 DAST) + 静态应用程序安全测试(以下全文简称 SAST):DAST 不需要访问代码并且易于实现。另一方面,SAST 需要访问代码,但是对应用程序的内部逻辑了解更为深入。这两种测试技术各有利弊,但是两种测试结果的关联和结合,能极大提高安全测试的价值:即他们不仅可以降低误报率,也可以发现更多安全漏洞,从而提高测试效率。

SAST + DAST + WAF(即静态 + 动态应用程序安全测试 + Web 应用防火墙):这个组合可以把 SAST 或 DAST 技术检测到的安全漏洞提供给 WAF 作为输入信息。这些漏洞信息可以用来创建特定的规则集,从而 WAF 甚至可以在修复方案实施之前制止漏洞带来的攻击。

SAST + DAST + SIM / SIEM(安全事故管理/安全事故事件管理,以下全文对应简称 SIM 或 SIEM):通过 SAST 或 DAST 检测到的漏洞信息对于 SIM 或 SIEM 的关联引擎是非常有价值的。这些漏洞信息可以提供更加准确的漏洞关联信息和攻击监测。

WAF + RASP(即 Web 应用防火墙 + 实时应用自我保护):WAF 和 RASP 的作用是互补的。WAF 提供的信息可由 RASP 验证,从而帮助提供更精确的侦测信息,并预防攻击。

「大一统」:最后终有一天,以上提及的所有检测手段,甚至更多手段,都可以组合在一起供企业使用,实现「真·安全智能体系」。

##3. 混合的应用程序安全测试

笔者认为,这里「混合」的意思是用一种结合自动和人工测试的方式「超越安全顾问们可以做到的极限」,以此实现更高的扩展性、更准确的可预测性和更高的成本效益。

DAST 和 SAST,两者都有自身的局限性。其中,两个主要的问题是误报率和业务逻辑测试。网络测试只需在一段已知的代码中发现已知的漏洞,然而和网络测试不同的是,应用程序测试面对的是未知代码。这使得漏洞侦测模式变得非常不同,更加难以实现自动化测试。所以,你只好从安全咨询人员或内部安全专家处获得最好的解决方案。然而,这种模式不具备可扩展性。比如,世界上有超过十亿个应用程序等待测试,在这种情况下,地球上并没有足够多的专家进行测试。

其实,这不是一个关于「人类 vs. 机器」的问题,而是关于「人类和机器」的问题。未来的趋势是自动化和人工验证的智慧结合。iViZ 是一个有趣的实例,他们使用的是自动化技术,同时结合了「自动化工作流程」进行人工检查,从而保证零误报率,且业务逻辑测试达到 100% 的WASC 类覆盖率。事实上,iViZ 收费固定,并且提供无限制的应用程序安全测试服务,而其边际利率高于市面上其他 SaaS 企业的平均水平。

##4. 应用程序安全作为服务

笔者相信「服务化 -aaS」模型的理由很简单:我们之所以需要技术并不是为了技术,而是为了解决问题。换句话说,我们需要的是解决方案和服务。随着人们越来越注重「核心竞争力」,大家感到获取服务比购买产品更有意义,「帮你搞定」比「你自己动手」更有意义(当然,也会有些例外)。

现在我们有 SASTaas、DASTaaS 和 WAFaaS。几乎所有事情都可以服务化。事实上,Gartner 已经为「应用程序安全即服务」创建了单独的技术成熟度曲线。

应用程序安全作为服务有许多好处:降低固定运营成本,帮助专注于核心竞争力,解决人才获取和留存的问题,降低运营管理费用等更多的益处。

##5. 安全产品开发生命周期(SDLC)之外:在安全线程上集成开发和运维

现在,是时候考虑安全产品开发生命周期以后的问题了。曾几何时,我们看到许多力量都在推动安全和软件开发生命周期的结合,笔者相信,这个行业已经取得了一些不错的进展。未来的趋势仍是这样,但是是从结合「安全 + 开发 + 运维」的角度去做。设计、开发、测试直到生产、管理、维护和运维,这一整条线索,应该无缝地与重中之重——即安全,密切结合。现今,开发与运维之间仍有一条「安全之路」要走,然而这条「路」将随安全生命周期的日趋集成化而渐渐模糊。

原文地址:http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客 本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
你不可不知的安全问题与9大趋势

当今安全问题与9大趋势,根据文章阿里安全资深总监张玉东解读安全技术9大新趋势整理。 安全问题 1、首先是国内企业安全意识觉醒力度不够、安全投入不足; 2、其次,很多企业的安全做法相对于...

微wx笑
2018/07/12
0
0
破解版手游已成"毒窝"一不小心"赔了媳妇又折兵"

[2016年7月8日]"破解版"手游因其具备免费、道具解锁等诸多优势,而吸引了一大波铁杆粉丝。可是天下哪有免费的午餐,在你免费获得游戏的同时,可能付出的是隐私泄露、巨额话费等代价。趋势科技...

玄学酱
2018/05/22
0
0
暗黑皮卡丘出没?恶意Pokemon GO疯狂窃取个人信息

[2016年7月25日]近日,一款名为《Pokemon GO》的手游正席卷全球,玩家可在游戏中找到拥有各种神奇技能的"小精灵"。国内许多玩家也《Pokemon GO》纷纷加入宠物养成的战队中。然后,下载游戏后...

玄学酱
2018/05/21
0
0
未来 5 年有颠覆性的 IT 技术都在这里

据福布斯杂志报道,在美国奥兰多举行的 Gartner 研讨会上,市场研究机构 Gartner Research 的副总裁兼资深研究员大卫·卡利(David Cearley)介绍了该机构预测的 2017 年十大战略技术趋势。他...

局长
2016/12/22
8.3K
19
网络安全技术分析

现在各种云应用的非常广,这也是今后的一个趋势。同时云安全也备受大家瞩目。前不久csdn等多家网站用户 信息被黑客获取。据悉,美国数据安全损失居全球之首 年损失960亿,这一系列无不刺激这...

最新更新消息
2015/12/06
100
0

没有更多内容

加载失败,请刷新页面

加载更多

UiPath announced the acquisition of StepShot and ProcessGold

In 2018, an estimated 1.8 billion consumers worldwide bought goods online, generating e-retail sales of $2.8 trillion. By 2021, this figure is expected t0 reach $4.8 trillion. Y......

巧克夹心
3分钟前
2
0
好程序员Java教程分享Java中this的几种用法

  好程序员Java教程分享Java中this的几种用法,this关键字必须放在非静态方法里面   this关键字代表自身,在程序中主要的使用用途有以下几个方面:   ?使用this关键字引用成员变量   ...

好程序员官网
8分钟前
0
0
ElasticsearchRepository

关键字 使用示例 等同于的ES查询 And findByNameAndPrice {“bool” : {“must” : [ {“field” : {“name” : “?”}}, {“field” : {“price” : “?”}} ]}} Or findByNameOrPrice {“b...

少年已不再年少
14分钟前
0
0
python学习13.04:什么是位置参数,Python位置参数

位置参数,有时也称必备参数,指的是必须按照正确的顺序将实际参数传到函数中,换句话说,调用函数时传入实际参数的数量和位置都必须和定义函数时保持一致。 实参和形参数量必须一致 在调用函...

太空堡垒185
19分钟前
1
0
mysql索引

一、什么是索引?为什么要建立索引? 索引用于快速找出在某个列中有一特定值的行,不使用索引,MySQL必须从第一条记录开始读完整个表,直到找出相关的行,表越大,查询数据所花费的时间就越多...

蜗牛女孩
28分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部