Home 操作方法 每个开发人员必须提出的五个安全问题
Applications

每个开发人员必须提出的五个安全问题

About The Author

Outline

开发团队在面向互联网的应用程序的安全性方面发挥着关键作用。 虽然恶意攻击者是这些团队遇到的最重大威胁,但他们在实施安全修复的同时,在业务,工程和安全领域平衡功能和非功能要求时,也面临内部挑战。 由于CI/CD自动化,开发团队发布代码的速度不断提高,这也凸显了在开发和发布周期过程中完全集成安全流程和工具的重要性。 以下是五个安全问题,可提高对应用程序安全需求的认识,并降低Web应用程序安全事件对您的业务造成影响的风险。

1.如何识别和修复我的应用程序代码中的漏洞?

‍Dynamic (DAST),静态(SAST)和交互式应用程序安全测试工具有助于查找Web应用程序中的漏洞。 DAST和SAST工具可通过不同的方式帮助查找运行时的弱点。 DAST尝试对Web应用程序执行攻击(例如跨站点脚本),而SAST工具则在源代码中查找不安全的做法(例如未初始化的变量)。 在持续集成/持续部署(CI/CD)管道中使用这两种方法有助于在产品投入生产之前在devsecops流程中发现缺陷。

某些源代码控制系统信息库可以与CI实践集成,以便在每次更改时运行安全扫描。 存储库可能要求CI实践在每个变更请求中执行SAST。 如果扫描报告安全发现,存储库可能会阻止变更请求的审批。 手动或自动执行这些扫描的团队可以显著降低其安全风险。 同样,CD可以在部署新代码期间包括DAST扫描。

软件组成分析(SCA)工具还可用于扫描和识别开源库或第三方库中的漏洞,以便修复问题。 随着利用微服务和API的可组合或渐进式Web应用程序变得越来越普遍,为API提供足够的保护同样至关重要。 这包括API发现检查点,JSON架构验证以及确保攻击者不会危及属性类型和属性值的完整性。 利用API网关解决方案防止对API的未经授权访问以及第三方脚本保护在防止恶意活动和Magecart式供应链攻击方面都起着重要作用。

扫描可能会产生许多结果。 即使在漏洞管理系统的帮助下,也需要时间来评估和确定所有这些问题的优先级。 Web应用程序和API保护(WAAP)使您可以在您的团队优先处理和应用修复程序时立即采取措施缓解漏洞。

此外,对受WAAP保护的Web应用程序或API运行DAST扫描可以改善应用程序的整体安全态势。 WAAP未能阻止的任何攻击都可以由安全小组确定,以便进一步微调。 如果WAAP中包含的规则未能缓解DAST扫描发现的问题,则可以编写并部署自定义WAAP规则以解决特定发现问题。 小组不再需要等待安全修补程序或迫在眉睫的攻击来缓解这些威胁。

2.如何识别和修复我的技术堆栈中的漏洞?

‍Modern Web应用程序技术堆栈由许多组件组成,例如Web和数据库服务器以及Web开发框架。 某些组件可通过插件,扩展和加载项进行扩展。 每个应用程序安全计划都应包括清点每个第三方组件以及了解和应用关键安全修补程序。 但是,如果不更改需要开发冲刺的应用程序代码,则有时无法应用关键修补程序。

软件和系统中未修补的漏洞是网络罪犯最常见的攻击媒介。 根据IBM的数据,2022年,数据泄露的全球平均成本超过435万美元,完全解决数据泄露所需的时间通常以数月计量。 软件修补程序为组织提供了更多的时间来修复已知的安全漏洞。 Web应用程序团队应定期测试和应用软件修补程序,例如每月或在软件发布时。 这样做可以减少存在的时间缺陷以及攻击者利用这些缺陷的时间量。 弱点存在的时间越长,恶意攻击者利用这些弱点的可能性就越大。

WAAP具有一整套特定于应用程序的安全规则,更通用的OWASP规则和灵活的自定义规则,以解决角落情况,使开发团队能够应用即时修复(也称为”虚拟修补”),以防止利用,同时为修补和更新应用程序代码提供喘息空间。 此外,安全团队应坚持使用WAAP解决方案来自动或轻松地阻止对敏感操作系统文件和路径的访问。

尽管在暂存或QA环境中运行WAAP可以帮助您深入了解特定WAAP配置是否能够防止攻击,但没有其他替代方法可以替代针对实时生产Web流量运行WAAP。 了解我们的双WAAP模式功能如何使安全团队能够测试生产流量上的新WAAP规则,从而为团队提供阻止新兴威胁和大幅缩短响应时间所需的观察和控制。

3.安全事件对服务器容量有何影响?‍

平衡服务器容量和云成本是客户体验与业务需求之间的权衡。 但是,分配服务器容量以容纳非法用户并不是最佳方法。

虽然高级持续性威胁(APT)(如Killnet)在2022年夏季和秋季针对日本政府机构和美国机场网站的高调DDoS攻击威胁仍然存在,但多Gbps范围内的攻击更常见。 根据NETSCOUT的数据,每三秒钟发生一次DDoS攻击。 除了仅使用带宽来衡量DDoS攻击之外,请求速率(即每秒请求数(RPS)或每秒百万数据包数(Mpps))也是保护应用程序基础设施的同等重要的考虑因素。 这些来自扫描器或僵尸网络攻击Web应用程序的安全事件可能不会引起新闻,但可能会影响客户在您的网站上的体验。

利用基于云的WAAP (具有精细的功能)来评级限制流量和缓解对关键端点的攻击,可以在这种不需要的流量影响Web应用程序之前过滤掉大部分流量,从而为实际用户保留服务器容量。

4.我是否需要遵守合规性要求?

‍Depending对于您的行业和应用类型,您的应用可能需要符合行业法规。 如果您的站点处理信用卡付款,则可能必须符合PCI标准。 您的公司可能需要遵守SOC 2合规性,因为您的应用程序使用和保留的数据具有敏感性。 其中许多法规要求使用WAAP。

即使行业法规不适用,您也可以考虑遵循行业最佳实践和准则。 您可以使用Internet安全中心控件或AWS架构良好的框架。 两者都建议使用WAAP,因为它可以检查和过滤恶意Web流量。

5.我的应用程序更新/停用流程是什么?

‍Applications应更新或停用基于旧技术堆栈的构建。 如果不维护技术堆栈,许多公司将无法修复旧的应用程序代码。 平衡安全性与业务需求可能需要一种临时解决方案。 运行全面的DAST扫描和精心调整的WAAP (在需要时使用适当的自定义规则),使您可以安全地运行Web应用程序,直到它们升级或停用。

‍Have更多问题?

‍Securing您的Web应用程序是一项需要平衡安全性,工程和业务利益的重要任务。 有时这些利益会发生冲突,使得开发者难以采取行动。

WAAP可以帮助缩小这一差距,同时团队可以确定威胁的优先级,并在CI/CD管道中实施修复。 我们功能强大,经济高效的WAAP Insights降低了采用WAAP的障碍。

联系我们,获取有关强化Web安全和WAAP见解的所有问题解答。