應用安全技術趨勢之 Top 5
而今,大多數應用都依賴於像入侵防護系統(Instrusion Prevention System)和 Web 應用防火牆(Web Application Firewall,以下全文簡稱 WAF)這樣的外部防護。然而,許多這類安全功能都可以內建到應用程式中,實現應用程式執行的自我保護。
1. 實時應用自我保護
實時應用自我保護(以下全文簡稱 RASP),是一個應用程式執行時環境的組成部分,它可以實現為 Java 除錯介面的擴充套件。RASP 可以檢測到應用程式在執行時試圖往記憶體中寫入大量資料的行為,或者是否存在未經授權的資料庫訪問。同時,它具有實時終止會話、和發出告警等功能。WAF 和 RASP 的合作相輔相成,WAF 可以檢測到潛在的攻擊,而 RASP 可以通過研究應用內部的實際響應資料來驗證潛在的攻擊是否具有威脅性。
毋庸置疑,內建於應用程式的RASP,比那些只能獲取 App 有限的內部程式資訊的外接裝置更加強大。
2. 協同安全智慧
說到協同安全智慧,筆者認為協同安全的意義是不同應用安全技術間的協作或整合。
動態應用程式安全測試(以下全文簡稱 DAST) + 靜態應用程式安全測試(以下全文簡稱 SAST):DAST 不需要訪問程式碼並且易於實現。另一方面,SAST 需要訪問程式碼,但是對應用程式的內部邏輯瞭解更為深入。這兩種測試技術各有利弊,但是兩種測試結果的關聯和結合,能極大提高安全測試的價值:即他們不僅可以降低誤報率,也可以發現更多安全漏洞,從而提高測試效率。
SAST + DAST + WAF(即靜態 + 動態應用程式安全測試 + Web 應用防火牆):這個組合可以把 SAST 或 DAST 技術檢測到的安全漏洞提供給 WAF 作為輸入資訊。這些漏洞資訊可以用來建立特定的規則集,從而 WAF 甚至可以在修復方案實施之前制止漏洞帶來的攻擊。
SAST + DAST + SIM / SIEM(安全事故管理/安全事故事件管理,以下全文對應簡稱 SIM 或 SIEM):通過 SAST 或 DAST 檢測到的漏洞資訊對於 SIM 或 SIEM 的關聯引擎是非常有價值的。這些漏洞資訊可以提供更加準確的漏洞關聯資訊和攻擊監測。
WAF + RASP(即 Web 應用防火牆 + 實時應用自我保護):WAF 和 RASP 的作用是互補的。WAF 提供的資訊可由 RASP 驗證,從而幫助提供更精確的偵測資訊,並預防攻擊。
「大一統」:最後終有一天,以上提及的所有檢測手段,甚至更多手段,都可以組合在一起供企業使用,實現「真·安全智慧體系」。
3. 混合的應用程式安全測試
筆者認為,這裡「混合」的意思是用一種結合自動和人工測試的方式「超越安全顧問們可以做到的極限」,以此實現更高的擴充套件性、更準確的可預測性和更高的成本效益。
DAST 和 SAST,兩者都有自身的侷限性。其中,兩個主要的問題是誤報率和業務邏輯測試。網路測試只需在一段已知的程式碼中發現已知的漏洞,然而和網路測試不同的是,應用程式測試面對的是未知程式碼。這使得漏洞偵測模式變得非常不同,更加難以實現自動化測試。所以,你只好從安全諮詢人員或內部安全專家處獲得最好的解決方案。然而,這種模式不具備可擴充套件性。比如,世界上有超過十億個應用程式等待測試,在這種情況下,地球上並沒有足夠多的專家進行測試。
其實,這不是一個關於「人類 vs. 機器」的問題,而是關於「人類和機器」的問題。未來的趨勢是自動化和人工驗證的智慧結合。iViZ 是一個有趣的例項,他們使用的是自動化技術,同時結合了「自動化工作流程」進行人工檢查,從而保證零誤報率,且業務邏輯測試達到 100% 的WASC 類覆蓋率。事實上,iViZ 收費固定,並且提供無限制的應用程式安全測試服務,而其邊際利率高於市面上其他 SaaS 企業的平均水平。
4. 應用程式安全作為服務
筆者相信「服務化 -aaS」模型的理由很簡單:我們之所以需要技術並不是為了技術,而是為了解決問題。換句話說,我們需要的是解決方案和服務。隨著人們越來越注重「核心競爭力」,大家感到獲取服務比購買產品更有意義,「幫你搞定」比「你自己動手」更有意義(當然,也會有些例外)。
現在我們有 SASTaas、DASTaaS 和 WAFaaS。幾乎所有事情都可以服務化。事實上,Gartner 已經為「應用程式安全即服務」建立了單獨的技術成熟度曲線。
應用程式安全作為服務有許多好處:降低固定運營成本,幫助專注於核心競爭力,解決人才獲取和留存的問題,降低運營管理費用等更多的益處。
5. 安全產品開發生命週期(SDLC)之外:在安全執行緒上整合開發和運維
現在,是時候考慮安全產品開發生命週期以後的問題了。曾幾何時,我們看到許多力量都在推動安全和軟體開發生命週期的結合,筆者相信,這個行業已經取得了一些不錯的進展。未來的趨勢仍是這樣,但是是從結合「安全 + 開發 + 運維」的角度去做。設計、開發、測試直到生產、管理、維護和運維,這一整條線索,應該無縫地與重中之重——即安全,密切結合。現今,開發與運維之間仍有一條「安全之路」要走,然而這條「路」將隨安全生命週期的日趨整合化而漸漸模糊。
原文地址:http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss
如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網路安全攻擊。OneRASP 實時應用自我保護技術,可以為軟體產品提供精準的實時保護,使其免受漏洞所累。想閱讀更多技術文章,請訪問 OneAPM 官方技術部落格。 本文轉自 OneAPM 官方部落格
相關文章
- IT應用技術趨勢展
- 新冠疫情:疫情之後的技術趨勢
- 2017年酒店技術的5大趨勢
- 資料脫敏技術發展趨勢與行業應用研判行業
- 業務應用小程式化,企業降本增效技術趨勢
- 撼動企業應用架構的十大技術趨勢應用架構
- 大資料技術趨勢大資料
- DevSecOps 技術趨勢dev
- 未來5年可穿戴技術的7大趨勢
- 開發企業應用的主流技術趨勢之一:Flex+JavaFlexJava
- 慧聰研究:汽車主動安全技術的發展趨勢
- Android 5.0 技術新趨勢Android
- 超級應用成為戰略技術趨勢,企業建設應該如何落地
- 區塊鏈技術開發公司 區塊鏈應用的兩大趨勢區塊鏈
- 六大殺手鐗趨勢科技雲安全2.0技術巡展
- 趨勢分析 | 零信任實踐之關鍵技術解讀
- 十大戰略技術趨勢之數字孿生
- 新冠疫情:疫情之後的技術趨勢(附下載)
- 牛年 dotnet雲原生技術趨勢
- Java 定時任務技術趨勢Java
- 技術行業的巨集觀趨勢行業
- 技術戰疫:下一個10年的技術趨勢
- 大勢所趨 HTML5成Web開發者最關心的技術HTMLWeb
- 從第三次技術革命看企業應用三大開發趨勢
- 採購技術的七大趨勢
- 新年軟體技術趨勢:SOA、SaaS上榜
- VC眼中的十大技術趨勢
- 半導體技術未來的發展趨勢
- RSA 2019觀察: 應用安全趨勢與解析 —— DevOPS與API安全devAPI
- Forrester報告:CIO今年應該關注的12項技術趨勢REST
- 2020年5大優秀技術趨勢,緊跟時代潮流
- Liftoff:移動應用趨勢報告
- 中國移動應用設計趨勢
- AIoT技術的廣泛應用與巨大優勢AI
- 幻影成像技術具備了哪些應用優勢
- Pack:2017年最新技術工具以及技術趨勢調查
- 深度學習技術發展趨勢淺析深度學習
- 前端技術演進(八):未來前端趨勢前端