文档章节

如何避免应用安全风险?

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/03/18 18:10
字数 1642
阅读 36
收藏 1

###应用安全

由于安全管理不善所引起的那些风险再也不能仅仅通过一些数字来进行彻底的了解,这些数字通常未涉及实际的量子损害及其连锁反应。在疯狂追赶上市时间的压力之下,应用开发者可能没有全面考虑数据安全和用户隐私,只给企业提供了初级的临时预防威胁的工具。当边界安全在应用层激发了不安全的代码,运行时安全只是更进一步地重现这种攻击。这场混乱之后,应当如何阻止应用安全消失在众所周知的百慕大三角中,即范围、进度和预算?现在,让我们了解一下常见的应用安全风险以及降低风险的方法:

###风险:安全人员对运行时监控工具的支持不足 当令人费解的网络边界理念开始被视为异想天开,不切实际时,运行时应用自我保护就产生了,安全公司也下决心把防御层从边界转移到主机。不过 RASP 只能处理像 CSRF 和 SQLi 这些小范围的网络应用漏洞,开发者也可以不费吹灰之力地解决这些相对较小的威胁。

对于 RASP 和 WAF,更大的问题在于他们缺乏漏洞校正功能。本质上来说,他们所做的就是设立临时障碍,而后者会成为检测漏洞的“依托”。若这种依托和临时修复未能得到记录与保存,且未能传到 IT 经理和高管那里,那么,随着时间的推移,他们可能就被忽视了。因为在大家的印象中,这些漏洞已经得到修复。

你能做什么: 企业需要把安全渗透到开发团队的核心,更精确地说是让它成为 DevOps 的关键策略。可以寻求安全态势分析师的帮助,他们会协助你制定详尽的计划和政策来管理补丁,记录日志和生命周期文档。这将能使你的企业知道哪种解决方案最适合你的业务线、端点、平台、规模以及品牌形象意识。

###风险:目光短浅的计划

RASP 和 WAF 二者都是仅仅在应用的核心增设一层防护,并没有帮助构建安全的应用程序。企业迟早都得面对这个艰难而又迫在眉睫的决定:是购买一个 RASP 补偿控制扩展程序以实现零日漏洞,还是从开发人员处寻求修复方法。中小型企业在权衡妨碍业务连续性与部署成本时,往往难以作出抉择。

**你能做什么:**设法充分预见长期利益,全面了解安全实现、产品及工具的局限性。详尽的威胁侦测,除了能保持企业对具体情境中的漏洞感知,也对防御战术进行了重点分析,并对威胁源与危险行为做了阐释。因此,缺少此类侦测的风险缓解计划是不够完整的。

###风险:全权委托运行时监控

运行时安全设计的目的在于阻止实时攻击,但极易产生误报。他们会把不常见的流量当成异常流量,阻止代码执行,从而破坏数据可用性——最终造成给各种各样的 DoS 自身攻击。WAF 的智能之处尽在其签名基类和模式匹配资源,但 WAF 并不知道应用程序如何处理用户的输入,它只知道阻止“似乎”是恶意的输入。你可能已经猜到,黑客可以制造更巧妙的攻击,这些攻击伪装成为无害的请求来欺骗 WAF 过滤器。

**你能做什么:**基本思想是人与技术保持同步。工具容易产生误报,且不能独自决定如何采取行动。安全专家需要不断地对工具进行监控,以解释复杂攻击的本质并将其从常规的性能测试流量中区分出来。

还有一个重要的结论是,尽管 RASP 可以使你的应用具备自我保护能力,但这也意味着它能诱使黑客深入存储栈,而可能还存在其他将黑客锁定在网络边界外部的方法。这种情况就需要安全顾问的指导,他会灌输鲁棒文化,通过多层安全基础措施来防止你的预算向单一且明显不严密的防御机制倾斜。

安全状态评估,从协助开发安全代码着手,通过一个成熟的风险管理计划,并以客制化的威胁分析作为强大后盾,给你带来各种好处。安全工具或许可以找出并阻止某些预定义的活动,人为渗透测试却可以打破陈规,并模仿那些尽其所能躲避标准入侵预防签名的攻击者。

原文链接:http://blogs.alephtavtech.com/application-security/avoid-these-application-security-risks/

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
乌云章华鹏:如何构建高效的安全运维服务平台

如何构建高效的安全运维服务平台 大家好,我是乌云的章华鹏,今天和大家分享的话题是“高效安全运维服务平台的构建”,包括:企业的数据安全问题,运维安全中面临的网络、系统服务、应用相关...

cathyli
2016/04/22
48
0
【葡萄城公开课】WebApp安全风险和防护分享

2018 网络安全事故频发,从数据泄露、信息窃取,到 DDOS 攻击、勒索病毒,不仅威胁的总数在增加,威胁态势也变得更加多样化,攻击者在不断开发新的攻击途径的同时,也尽力在攻击过程中掩盖其...

葡萄城技术团队
06/19
3
0
大数据时代,如何避免隐私泄露

     本文为36大数据独译 译者奥特曼   几年前,大数据还是一个只被业内人士知晓的行业术语,但近几年,某些高收入产业已在大数据挖掘上显示出巨大潜力,主要体现在数据量的增加,数据...

36大数据
2017/09/09
0
0
美国白宫:为人工智能的未来做好准备

10月13日,奥巴马主持白宫前沿峰会,展望美国在未来50年的发展,发布了《为人工智能的未来做好准备》和《国家人工智能研究与发展策略规划》两份重要报告。前者审视了人工智能的现状,现有和潜...

玄学酱
2018/05/11
0
0
WebApp 安全风险与防护课堂开课了!

本文由葡萄城技术团队于原创并首发 转载请注明出处:葡萄城官网,葡萄城为开发者提供专业的开发工具、解决方案和服务,赋能开发者。 2018 网络安全事故频发,从数据泄露、信息窃取,到 DDOS...

葡萄城技术团队
06/25
17
0

没有更多内容

加载失败,请刷新页面

加载更多

springboot2.0 maven打包分离lib,resources

springboot将工程打包成jar包后,会出现获取classpath下的文件出现测试环境正常而生产环境文件找不到的问题,这是因为 1、在调试过程中,文件是真实存在于磁盘的某个目录。此时通过获取文件路...

陈俊凯
今天
6
0
BootStrap

一、BootStrap 简洁、直观、强悍的前端开发框架,让web开发更加迅速、简单 中文镜像网站:http://www.bootcss.com 用于开发响应式布局、移动设备优先的WEB项目 1、使用boot 创建文件夹,在文...

wytao1995
今天
10
0
小知识:讲述Linux命令别名与资源文件的区别

别名 别名是命令的快捷方式。为那些需要经常执行,但需要很长时间输入的长命令创建快捷方式很有用。语法是: alias ppp='ping www.baidu.com' 它们并不总是用来缩短长命令。重要的是,你将它...

老孟的Linux私房菜
今天
8
0
《JAVA核心知识》学习笔记(6. Spring 原理)-5

它是一个全面的、企业应用开发一站式的解决方案,贯穿表现层、业务层、持久层。但是 Spring 仍然可以和其他的框架无缝整合。 6.1.1. Spring 特点 6.1.1.1. 轻量级 6.1.1.2. 控制反转 6.1.1....

Shingfi
今天
8
0
Excel导入数据库数据+Excel导入网页数据【实时追踪】

1.Excel导入数据库数据:数据选项卡------>导入数据 2.Excel导入网页数据【实时追踪】:

东方墨天
今天
11
1

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部