国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

十年未變!安全,誰之責(zé)?(下)

Chaz / 962人閱讀

摘要:在十年未變安全,誰之責(zé)上中,我們介紹了安全領(lǐng)域的現(xiàn)狀和新的解決方案,那么究竟是什么它在應(yīng)用安全多變的今天又能帶給我們什么樣效果我們將通過何種方式才能打贏這場與黑客之間的攻堅戰(zhàn)呢應(yīng)用安全行業(yè)快速發(fā)展的數(shù)十年間,出現(xiàn)了許多巨變。

在 十年未變!安全,誰之責(zé)?(上)中,我們介紹了安全領(lǐng)域的現(xiàn)狀和RASP新的解決方案,那么 RASP 究竟是什么?它在應(yīng)用安全多變 的今天又能帶給我們什么樣效果?我們將通過何種方式才能打贏這場與黑客之間的攻堅戰(zhàn)呢?

應(yīng)用安全行業(yè)快速發(fā)展的數(shù)十年間,出現(xiàn)了許多巨變。我們不僅看到過能塞滿一整間屋子的電腦,那些曾經(jīng)耗費數(shù)萬美元、運行一次需要數(shù)周的設(shè)備,現(xiàn)在只需十多美元,幾個小時內(nèi)就能運行完畢。AsTech 仍在為許多重要應(yīng)用進行人為測評,但是,可喜的是,現(xiàn)在出現(xiàn)了一些能夠?qū)?shù)量龐大的應(yīng)用安全狀態(tài)進行合理測評的工具。既然我們可以持續(xù)地監(jiān)測應(yīng)用狀態(tài),有關(guān)應(yīng)用安全的擔(dān)憂是否可以拋之腦后了呢?

應(yīng)用監(jiān)控方面的驚人進展卻也凸顯了應(yīng)用程序安全鏈的另一重要環(huán)節(jié):如何修復(fù)安全漏洞?我們可以耗費大量資金事無巨細地測試每一行軟件代碼,但是如果沒法修復(fù)檢測出來的問題,還是于事無補。事實上,自動修復(fù)解決方案總是伴隨著軟件測評市場一同出現(xiàn),這些解決方案正逐漸提高我們的測評能力。一直以來,WAF 都是優(yōu)秀測評修補程序的重要補充,但卻無可避免地需要極高的專業(yè)水準與細粒度的優(yōu)化才能發(fā)揮最高效率。除非我們的代碼能夠自動修復(fù)漏洞,否則,我們在應(yīng)用安全的道路上還有很長的路要走。實時應(yīng)用程序安全保護(RASP)是應(yīng)用程序安全鏈中新出現(xiàn)的一環(huán),它能將你無數(shù)的開放漏洞變?yōu)榭梢怨芾碚瓶氐男栴}。

盡管無法修補源碼中的安全漏洞,RASP 能夠自動防御許多通過常見漏洞進行的攻擊,大大地簡化該問題。RASP 會被插入運行中的應(yīng)用棧,通過修改應(yīng)用的行為,有效防止由程序漏洞而引起的攻擊。有了這種解決方案,有限的應(yīng)用安全開發(fā)資源得到了解放,轉(zhuǎn)而專注于那些只有人才能解決的問題,比如修改易受攻擊的代碼,管理修復(fù)生命周期,以及/或優(yōu)化管理 WAF 安裝配置。

總之,即便你有無限的資源,也找不到足夠的應(yīng)用安全專家解決所有問題。隨著 WAF 與 RASP 這類解決方案日臻完善,有限的人力資源可以將時間花在更感興趣的方面,而由自動化解決方案扛起更多工作。一種切實可行的綜合解決方案,包括有效全面的自動化部署、與開發(fā)流程的緊密集成,再由專家對關(guān)鍵應(yīng)用進行評測與修復(fù),終于出現(xiàn)并趕上了爆炸式成長的軟件開發(fā)業(yè)。

安全培訓(xùn)

Cigital 公司的 Steven 說除了溝通,安全培訓(xùn)是另外一個關(guān)鍵內(nèi)容。「我們招聘并培訓(xùn)開發(fā)人員是因為時間告訴我們不這么做就不會做成事情。」他說道。「我認為當(dāng)你審視安全從業(yè)人員社區(qū)時,你會發(fā)現(xiàn)很多測試人員和安全專家都會學(xué)一些編程技術(shù)以便更好地從事自己的工作,我認為很多這種設(shè)計——注意我說的是真正的設(shè)計決策,通過缺陷分類問題,正確的設(shè)計或解決軟件安全問題的積極辦法——我認為這有點超出他們的能力范圍。」

「從業(yè)成員也有不同的類型,」他繼續(xù)說到。「我們能夠從 OWASP 社區(qū)了解這些測試專家:有些人在滲透測試擁有五年或十年的工作經(jīng)歷,這群人可能并不了解開發(fā),也并沒有和管理層人員有過溝通交流,因此建造一直安全團隊可能比較困難。當(dāng)他們與組織架構(gòu)師談及采用一個全新開源的結(jié)構(gòu)或庫的時候,你能夠想象到這對他們來說將會是一個不小的挑戰(zhàn)。理解鴻溝不僅僅存在于開發(fā)層面,結(jié)構(gòu)層面同樣也是如此。」

針對漏洞的培訓(xùn)和企劃同樣也是 Rogue Wave 公司的 Cope 所提供的建議。「保護自己的唯一辦法是更新至最新的補丁,了解最新的新聞和使用最新的辦法,并期待它們一直如此……面對所有的這些軟件,將會有更多的安全漏洞出現(xiàn),你需要做到有備而戰(zhàn),使用工具,準備好提醒措施以便能夠快速知道問題在哪兒,是來自于開源項目還是另有它處,知道問題所在后有適當(dāng)?shù)木徑獯胧┮员阒滥切┑胤绞艿搅擞绊憽!?/p>

「如果有一個新的 OpenSSl 補丁,我該怎么辦呢?我怎么知道在我的機器環(huán)境(虛擬或是物理)需要更新?以及如何操作?誰進行該操作?整個緩和計劃必須是一個長期進行的過程。」

打正確的仗

所有人都同意只要軟件還存在,有所圖的人就定會利用它的缺陷。但并不是因為黑客攻擊得不到最終阻止就不值得嘗試任何安全軟件。

Rogue Wave 公司的 Cope 這么說道:

「這就有點像達爾文主義……適者生存。如果你能快速的打好補丁,那么你就能夠擋回處于食物鏈最底層的黑客,也許他們由于技術(shù)陳舊仍然尋找著那些沒有及時更新打好補丁的機器。因此如果你正在某個公司承擔(dān)著安全任務(wù),那么你至少要解決那些陳舊的已知漏洞問題,因為沒有這么做的人將會是一個更容易實現(xiàn)的目標(biāo),因此那些花了幾個小時攻擊你的站點的黑客在發(fā)現(xiàn)更容易的目標(biāo)后就不會繼續(xù)打擾你了。」

「很不幸,但是事實是你不是在與黑客進行某場比賽,而是與那些更新沒有你迅速及時的人比賽。這就像你穿上網(wǎng)球鞋,不是為了要跑贏熊,而是為了跑贏你的朋友。」

原文地址:http://sdtimes.com/stop-fighting-yesterdays-software-security-wars/#ixzz3ujcSTpgk

如今,多樣化的攻擊手段層出不窮,傳統(tǒng)安全解決方案越來越難以應(yīng)對網(wǎng)絡(luò)安全攻擊。OneRASP 實時應(yīng)用自我保護技術(shù),可以為軟件產(chǎn)品提供精準的實時保護,使其免受漏洞所累。想閱讀更多技術(shù)文章,請訪問 OneAPM 官方技術(shù)博客。
本文轉(zhuǎn)自 OneAPM 官方博客

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/11173.html

相關(guān)文章

  • 區(qū)塊鏈喧囂不止,ETM何以成為行業(yè)清流?

    摘要:時隔一年,今年六月發(fā)布的項目黃皮書除著眼于技術(shù)解讀外,還對中本聰?shù)睦砟钭鞒鼋庾x,賦權(quán)與去中心化的實現(xiàn)并不是一場未竟之夢。作為中本聰去中心化精神的追隨者,我們自年問世,便循其航行軌跡尋找出路。為何成為行業(yè)里一支清流給出了答案。 showImg(https://segmentfault.com/img/bVbuqPo?w=4592&h=3064); 從沒有哪個行業(yè)像區(qū)塊鏈這般,不憚以超速來...

    tuomao 評論0 收藏0
  • 中國云計算一個十年:行業(yè)云將進入"戰(zhàn)國時代"

    摘要:年,我國云計算進入第二個十年。栗蔚最后表示,目前,數(shù)據(jù)安全仍然是不可忽視的問題,基于此,信通院云大所云計算部進行了云服務(wù)商數(shù)據(jù)保護能力的評估。2018年,我國云計算進入第二個十年。回首第一個十年,云計算實現(xiàn)了快速的發(fā)展。那么在下一個十年,云計算將會出現(xiàn)哪些新變化和新趨勢?在今日舉行的"2018可信云大會"上,中國信息通信研究院云大所云計算部副主任栗蔚從市場技術(shù)、安全風(fēng)險、行業(yè)政策、未來建議等...

    zebrayoung 評論0 收藏0
  • 一個十年:練好內(nèi)功被集成的彈性計算

    摘要:產(chǎn)品作為阿里云層的代表產(chǎn)品,時代的計算基石,練好內(nèi)功是如此重要。在年月,彈性容器實例宣布全面商業(yè)化,讓的計算場景覆蓋到領(lǐng)域,全面支持云原生。感謝客戶年的陪伴,以阿里云峰會北京站為新的起點,再出發(fā),一路風(fēng)景,一路有你。ECS產(chǎn)品作為阿里云IAAS層的代表產(chǎn)品,All-in-Cloud時代的計算基石,練好內(nèi)功是如此重要。 ECS已經(jīng)迭代了9年,從最初的單一規(guī)格到現(xiàn)在的32種計算規(guī)格族群,正在服務(wù)...

    tracymac7 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<