應用安全技術趨勢之 Top 5
而今,大多數應用都依賴于像入侵防護系統(Instrusion Prevention System)和 Web 應用防火墻(Web Application Firewall,以下全文簡稱 WAF)這樣的外部防護。然而,許多這類安全功能都可以內置到應用程序中,實現應用程序運行的自我保護。
1. 實時應用自我保護
</h2>
<p>
<a href="/misc/goto?guid=4958978259844797005" target="_blank">實時應用自我保護</a> (以下全文簡稱 RASP),是一個應用程序運行時環境的組成部分,它可以實現為 Java 調試界面的擴展。RASP 可以檢測到應用程序在運行時試圖往內存中寫入大量數據的行為,或者是否存在未經授權的數據庫訪問。同時,它具有實時終止會話、和發出告警等功能。WAF 和 RASP 的合作相輔相成,WAF 可以檢測到潛在的攻擊,而 RASP 可以通過研究應用內部的實際響應數據來驗證潛在的攻擊是否具有威脅性。
</p>
<p>
毋庸置疑,內置于應用程序的RASP,比那些只能獲取 App 有限的內部進程信息的外接設備更加強大。
</p>
<h2>
2. 協同安全智能
</h2>
<p>
說到協同安全智能,筆者認為協同安全的意義是不同應用安全技術間的協作或集成。
</p>
<p>
動態應用程序安全測試(以下全文簡稱 DAST) + 靜態應用程序安全測試(以下全文簡稱 SAST):DAST 不需要訪問代碼并且易于實現。另一方面,SAST 需要訪問代碼,但是對應用程序的內部邏輯了解更為深入。這兩種測試技術各有利弊,但是兩種測試結果的關聯和結合,能極大提高安全測試的價值:即他們不僅可以降低誤報率,也可以發現更多安全漏洞,從而提高測試效率。
</p>
<p>
SAST + DAST + WAF(即靜態 + 動態應用程序安全測試 + Web 應用防火墻):這個組合可以把 SAST 或 DAST 技術檢測到的安全漏洞提供給 WAF 作為輸入信息。這些漏洞信息可以用來創建特定的規則集,從而WAF 甚至可以在修復方案實施之前制止漏洞帶來的攻擊。
</p>
<p>
SAST + DAST + SIM / SIEM(安全事故管理/安全事故事件管理,以下全文對應簡稱 SIM 或 SIEM):通過 SAST 或 DAST 檢測到的漏洞信息對于 SIM 或 SIEM 的關聯引擎是非常有價值的。這些漏洞信息可以提供更加準確的漏洞關聯信息和攻擊監測。
</p>
<p>
WAF + RASP(即 Web 應用防火墻 + 實時應用自我保護):WAF 和 RASP 的作用是互補的。WAF 提供的信息可由 RASP 驗證,從而幫助提供更精確的偵測信息,并預防攻擊。
</p>
<p>
「大一統」:最后終有一天,以上提及的所有檢測手段,甚至更多手段,都可以組合在一起供企業使用,實現「真·安全智能體系」。
</p>
<h2>
3. 混合的應用程序安全測試
</h2>
<p>
筆者認為,這里「混合」的意思是用一種結合自動和人工測試的方式「超越安全顧問們可以做到的極限」,以此實現更高的擴展性、更準確的可預測性和更高的成本效益。
</p>
<p>
DAST 和 SAST,兩者都有自身的局限性。其中,兩個主要的問題是誤報率和業務邏輯測試。網絡測試只需在一段已知的代碼中發現已知的漏洞,然而和網絡測試不同的是,應用程序測試面對的是未知代碼。這使得漏洞偵測模式變得非常不同,更加難以實現自動化測試。所以,你只好從安全咨詢人員或內部安全專家處獲得最好的解決方案。然而,這種模式不具備可擴展性。比如,世界上有超過十億個應用程序等待測試,在這種情況下,地球上并沒有足夠多的專家進行測試。
</p>
<p>
其實,這不是一個關于「人類 vs. 機器」的問題,而是關于「人類和機器」的問題。未來的趨勢是自動化和人工驗證的智慧結合。iViZ 是一個有趣的實例,他們使用的是自動化技術,同時結合了「自動化工作流程」進行人工檢查,從而保證零誤報率,且業務邏輯測試達到 100% 的WASC 類覆蓋率。事實上,iViZ 收費固定,并且提供無限制的應用程序安全測試服務,而其邊際利率高于市面上其他SaaS 企業的平均水平。
</p>
<h2>
4. 應用程序安全作為服務
</h2>
<p>
筆者相信「服務化 -aaS」模型的理由很簡單:我們之所以需要技術并不是為了技術,而是為了解決問題。換句話說,我們需要的是解決方案和服務。隨著人們越來越注重「核心競爭力」,大家感到獲取服務比購買產品更有意義,「幫你搞定」比「你自己動手」更有意義(當然,也會有些例外)。
</p>
<p>
現在我們有 SASTaas、DASTaaS 和 WAFaaS。幾乎所有事情都可以服務化。事實上,Gartner 已經為「應用程序安全即服務」創建了單獨的技術成熟度曲線。
</p>
<p>
應用程序安全作為服務有許多好處:降低固定運營成本,幫助專注于核心競爭力,解決人才獲取和留存的問題,降低運營管理費用等更多的益處。
</p>
<h2>
5. 安全產品開發生命周期(SDLC)之外:在安全線程上集成開發和運維
</h2>
<p>
現在,是時候考慮安全產品開發生命周期以后的問題了。曾幾何時,我們看到許多力量都在推動安全和軟件開發生命周期的結合,筆者相信,這個行業已經取得了一些不錯的進展。未來的趨勢仍是這樣,但是是從結合「安全 + 開發 + 運維」的角度去做。設計、開發、測試直到生產、管理、維護和運維,這一整條線索,應該無縫地與重中之重——即安全,密切結合。現今,開發與運維之間仍有一條「安全之路」要走,然而這條「路」將隨安全生命周期的日趨集成化而漸漸模糊。
</p>
<p>
原文地址: <a href="/misc/goto?guid=4958978259970401281" target="_blank">http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss</a>
</p>
<p>
如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。 <a target="_blank">OneRASP</a> 實時應用自我保護技術,可以為軟件產品提供精準的實時保護,使其免受漏洞所累。想閱讀更多技術文章,請訪問OneAPM 官方技術博客。
</p>
1. 實時應用自我保護
</h2>
<p>
<a href="/misc/goto?guid=4958978259844797005" target="_blank">實時應用自我保護</a> (以下全文簡稱 RASP),是一個應用程序運行時環境的組成部分,它可以實現為 Java 調試界面的擴展。RASP 可以檢測到應用程序在運行時試圖往內存中寫入大量數據的行為,或者是否存在未經授權的數據庫訪問。同時,它具有實時終止會話、和發出告警等功能。WAF 和 RASP 的合作相輔相成,WAF 可以檢測到潛在的攻擊,而 RASP 可以通過研究應用內部的實際響應數據來驗證潛在的攻擊是否具有威脅性。
</p>
<p>
毋庸置疑,內置于應用程序的RASP,比那些只能獲取 App 有限的內部進程信息的外接設備更加強大。
</p>
<h2>
2. 協同安全智能
</h2>
<p>
說到協同安全智能,筆者認為協同安全的意義是不同應用安全技術間的協作或集成。
</p>
<p>
動態應用程序安全測試(以下全文簡稱 DAST) + 靜態應用程序安全測試(以下全文簡稱 SAST):DAST 不需要訪問代碼并且易于實現。另一方面,SAST 需要訪問代碼,但是對應用程序的內部邏輯了解更為深入。這兩種測試技術各有利弊,但是兩種測試結果的關聯和結合,能極大提高安全測試的價值:即他們不僅可以降低誤報率,也可以發現更多安全漏洞,從而提高測試效率。
</p>
<p>
SAST + DAST + WAF(即靜態 + 動態應用程序安全測試 + Web 應用防火墻):這個組合可以把 SAST 或 DAST 技術檢測到的安全漏洞提供給 WAF 作為輸入信息。這些漏洞信息可以用來創建特定的規則集,從而WAF 甚至可以在修復方案實施之前制止漏洞帶來的攻擊。
</p>
<p>
SAST + DAST + SIM / SIEM(安全事故管理/安全事故事件管理,以下全文對應簡稱 SIM 或 SIEM):通過 SAST 或 DAST 檢測到的漏洞信息對于 SIM 或 SIEM 的關聯引擎是非常有價值的。這些漏洞信息可以提供更加準確的漏洞關聯信息和攻擊監測。
</p>
<p>
WAF + RASP(即 Web 應用防火墻 + 實時應用自我保護):WAF 和 RASP 的作用是互補的。WAF 提供的信息可由 RASP 驗證,從而幫助提供更精確的偵測信息,并預防攻擊。
</p>
<p>
「大一統」:最后終有一天,以上提及的所有檢測手段,甚至更多手段,都可以組合在一起供企業使用,實現「真·安全智能體系」。
</p>
<h2>
3. 混合的應用程序安全測試
</h2>
<p>
筆者認為,這里「混合」的意思是用一種結合自動和人工測試的方式「超越安全顧問們可以做到的極限」,以此實現更高的擴展性、更準確的可預測性和更高的成本效益。
</p>
<p>
DAST 和 SAST,兩者都有自身的局限性。其中,兩個主要的問題是誤報率和業務邏輯測試。網絡測試只需在一段已知的代碼中發現已知的漏洞,然而和網絡測試不同的是,應用程序測試面對的是未知代碼。這使得漏洞偵測模式變得非常不同,更加難以實現自動化測試。所以,你只好從安全咨詢人員或內部安全專家處獲得最好的解決方案。然而,這種模式不具備可擴展性。比如,世界上有超過十億個應用程序等待測試,在這種情況下,地球上并沒有足夠多的專家進行測試。
</p>
<p>
其實,這不是一個關于「人類 vs. 機器」的問題,而是關于「人類和機器」的問題。未來的趨勢是自動化和人工驗證的智慧結合。iViZ 是一個有趣的實例,他們使用的是自動化技術,同時結合了「自動化工作流程」進行人工檢查,從而保證零誤報率,且業務邏輯測試達到 100% 的WASC 類覆蓋率。事實上,iViZ 收費固定,并且提供無限制的應用程序安全測試服務,而其邊際利率高于市面上其他SaaS 企業的平均水平。
</p>
<h2>
4. 應用程序安全作為服務
</h2>
<p>
筆者相信「服務化 -aaS」模型的理由很簡單:我們之所以需要技術并不是為了技術,而是為了解決問題。換句話說,我們需要的是解決方案和服務。隨著人們越來越注重「核心競爭力」,大家感到獲取服務比購買產品更有意義,「幫你搞定」比「你自己動手」更有意義(當然,也會有些例外)。
</p>
<p>
現在我們有 SASTaas、DASTaaS 和 WAFaaS。幾乎所有事情都可以服務化。事實上,Gartner 已經為「應用程序安全即服務」創建了單獨的技術成熟度曲線。
</p>
<p>
應用程序安全作為服務有許多好處:降低固定運營成本,幫助專注于核心競爭力,解決人才獲取和留存的問題,降低運營管理費用等更多的益處。
</p>
<h2>
5. 安全產品開發生命周期(SDLC)之外:在安全線程上集成開發和運維
</h2>
<p>
現在,是時候考慮安全產品開發生命周期以后的問題了。曾幾何時,我們看到許多力量都在推動安全和軟件開發生命周期的結合,筆者相信,這個行業已經取得了一些不錯的進展。未來的趨勢仍是這樣,但是是從結合「安全 + 開發 + 運維」的角度去做。設計、開發、測試直到生產、管理、維護和運維,這一整條線索,應該無縫地與重中之重——即安全,密切結合。現今,開發與運維之間仍有一條「安全之路」要走,然而這條「路」將隨安全生命周期的日趨集成化而漸漸模糊。
</p>
<p>
原文地址: <a href="/misc/goto?guid=4958978259970401281" target="_blank">http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss</a>
</p>
<p>
如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。 <a target="_blank">OneRASP</a> 實時應用自我保護技術,可以為軟件產品提供精準的實時保護,使其免受漏洞所累。想閱讀更多技術文章,請訪問OneAPM 官方技術博客。
</p>
</div>
來自: http://news.oneapm.com/top5-rasp/
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!