資訊專欄INFORMATION COLUMN
摘要:曾提出一份報(bào)告,針對(duì)機(jī)構(gòu)應(yīng)該如何優(yōu)先管理積極風(fēng)險(xiǎn)的問題,提出了考慮將作為企業(yè)應(yīng)用程序安全的主流選擇的建議。的設(shè)計(jì)目的是實(shí)時(shí)消除惡意應(yīng)用程序行為,并發(fā)出警報(bào)來提醒組織優(yōu)先處理關(guān)鍵事務(wù)。
Aberdeen 曾提出一份報(bào)告,針對(duì)機(jī)構(gòu)應(yīng)該如何優(yōu)先管理積極風(fēng)險(xiǎn)的問題,提出了考慮將 Runtime Application Self-Protection (RASP) 作為企業(yè)應(yīng)用程序安全的主流選擇的建議。
企業(yè)應(yīng)用程序安全新方案不管從哪個(gè)方面來看,應(yīng)用程序組合對(duì)企業(yè)實(shí)現(xiàn)戰(zhàn)略業(yè)務(wù)目標(biāo)都至關(guān)重要。
然而,典型的企業(yè)應(yīng)用程序組合又總是數(shù)量龐大、復(fù)雜而且笨重。企業(yè)應(yīng)用程序的數(shù)量與復(fù)雜程度包括以下幾方面:
傳統(tǒng)的企業(yè)支持應(yīng)用程序的數(shù)量從幾十到幾百,更不要提用戶安裝在智能手機(jī)、平板電腦和筆記本電腦的上成百上千個(gè)移動(dòng)應(yīng)用程序了——有些受支持,但是大部分不受支持。
當(dāng)下,企業(yè)應(yīng)用程序類別更有自己額外的復(fù)雜分級(jí),其中有些應(yīng)用程序可能由內(nèi)部開發(fā)團(tuán)隊(duì)、外包開發(fā)團(tuán)隊(duì)、代表企業(yè)的系統(tǒng)集成人員,或者是這些開發(fā)團(tuán)隊(duì)選用的開源社區(qū)進(jìn)行開發(fā)并維護(hù)的——而且更有可能的是由以上幾個(gè)團(tuán)隊(duì)共同完成。
至于應(yīng)用程序交付平臺(tái),各個(gè)組織機(jī)構(gòu)都迫切希望利用虛擬化和云計(jì)算靈活性和低成本帶來的便利——不過他們?cè)诳梢娦院涂煽匦苑矫嬉廊皇种?jǐn)慎,尤其是涉及核心商業(yè)的那些應(yīng)用程序
這里最重要的啟發(fā)是,按照定義來說,企業(yè)的應(yīng)用程序檔案對(duì)組織實(shí)現(xiàn)戰(zhàn)略商業(yè)目標(biāo)至關(guān)重要——然而隨著時(shí)間推移,這個(gè)檔案必然會(huì)變得越來越龐大,越來越復(fù)雜。
攻擊者越來越致力于攻擊核心、戰(zhàn)略型目標(biāo),從而使他們的付出得到的回報(bào)最大化。
服務(wù)器最容易受到攻擊,大概是因?yàn)楣粽咧滥抢飪?chǔ)存著數(shù)據(jù)。
這個(gè)觀點(diǎn)在 Verizon 發(fā)布的《 2015 年數(shù)據(jù)泄露調(diào)查報(bào)告》中得到了驗(yàn)證。經(jīng)分析,過去十幾年來超過 90% 的數(shù)據(jù)泄露事件所用的攻擊方法只有九種——而且在這期間導(dǎo)致數(shù)據(jù)泄露最多的攻擊方法就是攻擊網(wǎng)站應(yīng)用程序。
| 攻擊類型 | 確認(rèn)數(shù)量 |
|---|---|
| 網(wǎng)絡(luò)應(yīng)用程序攻擊 | 458 (26%) |
| 銷售點(diǎn)入侵 | 419(24%) |
| 網(wǎng)絡(luò)間諜 | 290(17%) |
| 犯罪軟件 | 287(17%) |
| 內(nèi)部誤用 | 129(7%) |
| 信用卡盜用 | 108 (6%) |
| 盜竊 | 35(2%) |
| 其它錯(cuò)誤 | 11 (1%) |
| 合計(jì) | 1737(100%) |
信息來源:《 Verizon 2015 DBIR 》節(jié)選;Aberdeen 集團(tuán),2015年6月。
在表 1 所示的同一個(gè)時(shí)間段內(nèi)(2006-2014年),一共有 60879 家企業(yè)加入了國(guó)家漏洞數(shù)據(jù)庫(kù),因此安全意識(shí)并不是問題所在。真正的挑戰(zhàn)在于搞清楚應(yīng)該做什么,說服其他人這么做是值得做的,真正去做——并且在飛速變化的環(huán)境中堅(jiān)持不斷去做!
目前的 20 個(gè)關(guān)鍵安全控制(5.1版)還帶來了8個(gè)更高級(jí)別的要求,Aberdeen 已經(jīng)將其修訂成適用于應(yīng)用程序安全問題的內(nèi)容:
了解在你的網(wǎng)絡(luò)環(huán)境中有哪些應(yīng)用程序
確保你的應(yīng)用程序得到安全配置
確保你的應(yīng)用程序安裝補(bǔ)丁,并及時(shí)更新
備份并保護(hù)你的重要數(shù)據(jù)
保護(hù)你的網(wǎng)絡(luò)
管理你的用戶、用戶賬號(hào)以及他們對(duì)企業(yè)應(yīng)用程序的訪問
注意周圍環(huán)境發(fā)生的變化
時(shí)刻準(zhǔn)備著對(duì)出現(xiàn)的問題進(jìn)行響應(yīng)
這些探討中不可避免地遇到的問題可以最終歸結(jié)為安全、商業(yè)目標(biāo)、整體成本以及某種程度上的管理哲學(xué)等問題的集合。
| 策略 | 描述 | 技術(shù)例證 |
|---|---|---|
| 搜索和修復(fù) | 嘗試識(shí)別目前開發(fā)的應(yīng)用程序中的安全漏洞(一般由安全團(tuán)隊(duì)完成),然后由開發(fā)團(tuán)隊(duì)解決。 | -網(wǎng)絡(luò)漏洞掃描 -應(yīng)用程序發(fā)現(xiàn) -應(yīng)用程序漏洞掃描 -滲透測(cè)試 -道德攻擊 |
| 防御和延遲 | 增強(qiáng)目前開發(fā)的應(yīng)用程序的安全性,減少或延遲需要開發(fā)團(tuán)隊(duì)解決的安全漏洞。 | -網(wǎng)絡(luò)應(yīng)用程序防火墻 (WAF) -應(yīng)用級(jí)代理 -網(wǎng)頁(yè)安全(網(wǎng)頁(yè)監(jiān)控/過濾) -虛擬批處理 -實(shí)時(shí)應(yīng)用程序自我保護(hù) (RASP) |
| 根源保障 | 將安全測(cè)試實(shí)踐、工具和測(cè)試加入軟件開發(fā)生命周期 (SDLC),在應(yīng)用程序部署之前消除更多安全漏洞。 | -源代碼審核(手動(dòng)) -軟件測(cè)試(包括單元測(cè)試、功能測(cè)試、性能測(cè)試、驗(yàn)收測(cè)試和安全測(cè)試) -源代碼分析和驗(yàn)證(包括靜態(tài)、動(dòng)態(tài)和互動(dòng)) -第三方應(yīng)用軟件測(cè)試 |
信息來源:Aberdeen 集團(tuán),2015年6月。
一種新的確保應(yīng)用程序安全的方法已經(jīng)出現(xiàn),它被稱為 Runtime Application Self-Protection (RASP)。
RASP 的概念是把安全保護(hù)代碼內(nèi)嵌(或者有時(shí)候被稱為安裝)到某個(gè)應(yīng)用程序的運(yùn)行環(huán)境,實(shí)時(shí)提供該應(yīng)用程序詳細(xì)可見的收到的請(qǐng)求。關(guān)鍵點(diǎn)是,這種可見信息來自應(yīng)用程序本身,而不是來自網(wǎng)絡(luò)的變化。
另外,RASP 技術(shù)是被設(shè)計(jì)用來分析應(yīng)用程序本身的流量和上下文,以區(qū)別于正常的應(yīng)用程序行為和危險(xiǎn)行為。
在這些性能的基礎(chǔ)上,RASP 提供的正是 Aberdeen 在《Putting Threat Intelligence in Perspective 》(2014年12月)中探討的威脅情報(bào),它具有至少四個(gè)顯著特點(diǎn)(表3)。
| 危險(xiǎn)情報(bào)特點(diǎn)與描述 | 實(shí)時(shí)應(yīng)用程序自我保護(hù) (RASP) | |
|---|---|---|
| 來自合格可信的第三方來源。 | 考慮基礎(chǔ)設(shè)置防護(hù)的水平和復(fù)雜程度,信息優(yōu)勢(shì)是防衛(wèi)者打敗攻擊者的最佳方式。 | 在 RASP 模式下,信息來源是企業(yè)自己的應(yīng)用程序檔案。 |
| 提供主動(dòng)攻擊活動(dòng)的洞察力。 | 我們已經(jīng)擁有的大量潛在威脅、漏洞、利用信息,與主動(dòng)攻擊活動(dòng)的實(shí)際“誰、什么、哪里、何時(shí)和如何”信息有很大的不同。 | RASP 的設(shè)計(jì)目的是為內(nèi)置 RASP 的企業(yè)應(yīng)用程序提供主動(dòng)攻擊的“誰、什么、哪里、何時(shí)和如何”信息。 |
| 為組織風(fēng)險(xiǎn)提供獲取相關(guān)見解的方法。 | 在我們的組織的特定語境下,風(fēng)險(xiǎn)總是具備相似性和商業(yè)影響的作用。情報(bào)結(jié)合自知之明是確定正確、基于風(fēng)險(xiǎn)的行動(dòng)的唯一方法。 | 在 RASP 模式下,組織明白他們?cè)诠芾?em>真正的應(yīng)用程序攻擊,而不是管理漏洞帶來的后果以及未來應(yīng)用攻擊的可能性。待修復(fù)漏洞的優(yōu)先級(jí)和理由就會(huì)變得清楚明確。 |
| 包括活動(dòng)或額外幫助的選項(xiàng)。 | 獲取情報(bào)很重要,但是在需要的時(shí)候能夠具備能夠有效響應(yīng)的知識(shí)和能力更為關(guān)鍵,這樣才能獲得情報(bào)的真正價(jià)值。 | RASP 的設(shè)計(jì)目的是實(shí)時(shí)消除惡意應(yīng)用程序行為,并發(fā)出警報(bào)來提醒組織優(yōu)先處理關(guān)鍵事務(wù)。 |
信息來源:Aberdeen 集團(tuán),2015年6月。
如果你所在的組織機(jī)構(gòu)還未采用 RASP 來維護(hù)應(yīng)用程序安全,以下分析強(qiáng)烈建議你們主動(dòng)考慮采用這種新的備選方案 RASP。首先,需要評(píng)價(jià)的邏輯維度包括以下幾點(diǎn):
支持貴機(jī)構(gòu)應(yīng)用程序組合所用的編程語言
解決方案實(shí)時(shí)分析的準(zhǔn)確性
解決方案在應(yīng)用程序中的表現(xiàn)
如今,多樣化的攻擊手段層出不窮,傳統(tǒng)安全解決方案越來越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù),使其免受漏洞所累。想閱讀更多技術(shù)文章,請(qǐng)?jiān)L問 OneAPM 官方技術(shù)博客。
本文轉(zhuǎn)自 OneAPM 官方博客
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/11170.html
摘要:云計(jì)算已成為行業(yè)的重點(diǎn)發(fā)展領(lǐng)域。云計(jì)算提供了彈性可擴(kuò)展的存儲(chǔ)與計(jì)算服務(wù),為企業(yè)提升了數(shù)據(jù)分析計(jì)算和交付的效率,降低了企業(yè)自建計(jì)算集群的成本。企業(yè)信息化建設(shè)中,云計(jì)算以前所未有的優(yōu)勢(shì),大幅提升著企業(yè)競(jìng)爭(zhēng)力。云計(jì)算是順應(yīng)時(shí)代發(fā)展的產(chǎn)物,通過因特網(wǎng)的超級(jí)計(jì)算能力成為可能,企業(yè)和個(gè)人用戶不用再費(fèi)時(shí)費(fèi)財(cái)?shù)厝ブ脗浒嘿F的硬件設(shè)施,只需購(gòu)買或通過互聯(lián)網(wǎng)租用計(jì)算能力即可。可以說,云計(jì)算給了我們一個(gè)偉大的機(jī)會(huì),...
摘要:目前我們正采取措施,通過逐步改善現(xiàn)有過程來實(shí)現(xiàn)持續(xù)部署。在這篇文章中,我們將看看如何使用和來改善此設(shè)計(jì)。通過使用,在未來我們可以輕松地將構(gòu)建和部署任務(wù)集成起來,從而得到額外的好處。月日,北京海航萬豪酒店,容器技術(shù)大會(huì)即將舉行。 在這一系列文章的第一篇中,我們分享了只用Docker時(shí)我們開發(fā)的初步的工作流,如何創(chuàng)建一個(gè)基礎(chǔ)的構(gòu)建和部署流水線。容器的部署方式不再是在登陸server的時(shí)候從...
閱讀 3216·2023-04-25 18:43
閱讀 896·2021-11-24 09:39
閱讀 1364·2021-10-14 09:43
閱讀 3896·2021-09-22 15:58
閱讀 1911·2019-08-29 17:18
閱讀 415·2019-08-29 14:14
閱讀 3082·2019-08-29 13:01
閱讀 1619·2019-08-29 12:33
