資訊專欄INFORMATION COLUMN
摘要:曾提出一份報告,針對機構應該如何優先管理積極風險的問題,提出了考慮將作為企業應用程序安全的主流選擇的建議。的設計目的是實時消除惡意應用程序行為,并發出警報來提醒組織優先處理關鍵事務。
Aberdeen 曾提出一份報告,針對機構應該如何優先管理積極風險的問題,提出了考慮將 Runtime Application Self-Protection (RASP) 作為企業應用程序安全的主流選擇的建議。
企業應用程序安全新方案不管從哪個方面來看,應用程序組合對企業實現戰略業務目標都至關重要。
然而,典型的企業應用程序組合又總是數量龐大、復雜而且笨重。企業應用程序的數量與復雜程度包括以下幾方面:
傳統的企業支持應用程序的數量從幾十到幾百,更不要提用戶安裝在智能手機、平板電腦和筆記本電腦的上成百上千個移動應用程序了——有些受支持,但是大部分不受支持。
當下,企業應用程序類別更有自己額外的復雜分級,其中有些應用程序可能由內部開發團隊、外包開發團隊、代表企業的系統集成人員,或者是這些開發團隊選用的開源社區進行開發并維護的——而且更有可能的是由以上幾個團隊共同完成。
至于應用程序交付平臺,各個組織機構都迫切希望利用虛擬化和云計算靈活性和低成本帶來的便利——不過他們在可見性和可控性方面依然十分謹慎,尤其是涉及核心商業的那些應用程序
這里最重要的啟發是,按照定義來說,企業的應用程序檔案對組織實現戰略商業目標至關重要——然而隨著時間推移,這個檔案必然會變得越來越龐大,越來越復雜。
攻擊者越來越致力于攻擊核心、戰略型目標,從而使他們的付出得到的回報最大化。
服務器最容易受到攻擊,大概是因為攻擊者知道那里儲存著數據。
這個觀點在 Verizon 發布的《 2015 年數據泄露調查報告》中得到了驗證。經分析,過去十幾年來超過 90% 的數據泄露事件所用的攻擊方法只有九種——而且在這期間導致數據泄露最多的攻擊方法就是攻擊網站應用程序。
| 攻擊類型 | 確認數量 |
|---|---|
| 網絡應用程序攻擊 | 458 (26%) |
| 銷售點入侵 | 419(24%) |
| 網絡間諜 | 290(17%) |
| 犯罪軟件 | 287(17%) |
| 內部誤用 | 129(7%) |
| 信用卡盜用 | 108 (6%) |
| 盜竊 | 35(2%) |
| 其它錯誤 | 11 (1%) |
| 合計 | 1737(100%) |
信息來源:《 Verizon 2015 DBIR 》節選;Aberdeen 集團,2015年6月。
在表 1 所示的同一個時間段內(2006-2014年),一共有 60879 家企業加入了國家漏洞數據庫,因此安全意識并不是問題所在。真正的挑戰在于搞清楚應該做什么,說服其他人這么做是值得做的,真正去做——并且在飛速變化的環境中堅持不斷去做!
目前的 20 個關鍵安全控制(5.1版)還帶來了8個更高級別的要求,Aberdeen 已經將其修訂成適用于應用程序安全問題的內容:
了解在你的網絡環境中有哪些應用程序
確保你的應用程序得到安全配置
確保你的應用程序安裝補丁,并及時更新
備份并保護你的重要數據
保護你的網絡
管理你的用戶、用戶賬號以及他們對企業應用程序的訪問
注意周圍環境發生的變化
時刻準備著對出現的問題進行響應
這些探討中不可避免地遇到的問題可以最終歸結為安全、商業目標、整體成本以及某種程度上的管理哲學等問題的集合。
| 策略 | 描述 | 技術例證 |
|---|---|---|
| 搜索和修復 | 嘗試識別目前開發的應用程序中的安全漏洞(一般由安全團隊完成),然后由開發團隊解決。 | -網絡漏洞掃描 -應用程序發現 -應用程序漏洞掃描 -滲透測試 -道德攻擊 |
| 防御和延遲 | 增強目前開發的應用程序的安全性,減少或延遲需要開發團隊解決的安全漏洞。 | -網絡應用程序防火墻 (WAF) -應用級代理 -網頁安全(網頁監控/過濾) -虛擬批處理 -實時應用程序自我保護 (RASP) |
| 根源保障 | 將安全測試實踐、工具和測試加入軟件開發生命周期 (SDLC),在應用程序部署之前消除更多安全漏洞。 | -源代碼審核(手動) -軟件測試(包括單元測試、功能測試、性能測試、驗收測試和安全測試) -源代碼分析和驗證(包括靜態、動態和互動) -第三方應用軟件測試 |
信息來源:Aberdeen 集團,2015年6月。
一種新的確保應用程序安全的方法已經出現,它被稱為 Runtime Application Self-Protection (RASP)。
RASP 的概念是把安全保護代碼內嵌(或者有時候被稱為安裝)到某個應用程序的運行環境,實時提供該應用程序詳細可見的收到的請求。關鍵點是,這種可見信息來自應用程序本身,而不是來自網絡的變化。
另外,RASP 技術是被設計用來分析應用程序本身的流量和上下文,以區別于正常的應用程序行為和危險行為。
在這些性能的基礎上,RASP 提供的正是 Aberdeen 在《Putting Threat Intelligence in Perspective 》(2014年12月)中探討的威脅情報,它具有至少四個顯著特點(表3)。
| 危險情報特點與描述 | 實時應用程序自我保護 (RASP) | |
|---|---|---|
| 來自合格可信的第三方來源。 | 考慮基礎設置防護的水平和復雜程度,信息優勢是防衛者打敗攻擊者的最佳方式。 | 在 RASP 模式下,信息來源是企業自己的應用程序檔案。 |
| 提供主動攻擊活動的洞察力。 | 我們已經擁有的大量潛在威脅、漏洞、利用信息,與主動攻擊活動的實際“誰、什么、哪里、何時和如何”信息有很大的不同。 | RASP 的設計目的是為內置 RASP 的企業應用程序提供主動攻擊的“誰、什么、哪里、何時和如何”信息。 |
| 為組織風險提供獲取相關見解的方法。 | 在我們的組織的特定語境下,風險總是具備相似性和商業影響的作用。情報結合自知之明是確定正確、基于風險的行動的唯一方法。 | 在 RASP 模式下,組織明白他們在管理真正的應用程序攻擊,而不是管理漏洞帶來的后果以及未來應用攻擊的可能性。待修復漏洞的優先級和理由就會變得清楚明確。 |
| 包括活動或額外幫助的選項。 | 獲取情報很重要,但是在需要的時候能夠具備能夠有效響應的知識和能力更為關鍵,這樣才能獲得情報的真正價值。 | RASP 的設計目的是實時消除惡意應用程序行為,并發出警報來提醒組織優先處理關鍵事務。 |
信息來源:Aberdeen 集團,2015年6月。
如果你所在的組織機構還未采用 RASP 來維護應用程序安全,以下分析強烈建議你們主動考慮采用這種新的備選方案 RASP。首先,需要評價的邏輯維度包括以下幾點:
支持貴機構應用程序組合所用的編程語言
解決方案實時分析的準確性
解決方案在應用程序中的表現
如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,可以為軟件產品提供精準的實時保護,使其免受漏洞所累。想閱讀更多技術文章,請訪問 OneAPM 官方技術博客。
本文轉自 OneAPM 官方博客
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11170.html
摘要:云計算已成為行業的重點發展領域。云計算提供了彈性可擴展的存儲與計算服務,為企業提升了數據分析計算和交付的效率,降低了企業自建計算集群的成本。企業信息化建設中,云計算以前所未有的優勢,大幅提升著企業競爭力。云計算是順應時代發展的產物,通過因特網的超級計算能力成為可能,企業和個人用戶不用再費時費財地去置備昂貴的硬件設施,只需購買或通過互聯網租用計算能力即可。可以說,云計算給了我們一個偉大的機會,...
摘要:目前我們正采取措施,通過逐步改善現有過程來實現持續部署。在這篇文章中,我們將看看如何使用和來改善此設計。通過使用,在未來我們可以輕松地將構建和部署任務集成起來,從而得到額外的好處。月日,北京海航萬豪酒店,容器技術大會即將舉行。 在這一系列文章的第一篇中,我們分享了只用Docker時我們開發的初步的工作流,如何創建一個基礎的構建和部署流水線。容器的部署方式不再是在登陸server的時候從...
閱讀 3228·2023-04-25 18:43
閱讀 907·2021-11-24 09:39
閱讀 1373·2021-10-14 09:43
閱讀 3905·2021-09-22 15:58
閱讀 1935·2019-08-29 17:18
閱讀 428·2019-08-29 14:14
閱讀 3088·2019-08-29 13:01
閱讀 1628·2019-08-29 12:33
