如何避免應用安全風險？

應用安全

由於安全管理不善所引起的那些風險再也不能僅僅通過一些數字來進行徹底的瞭解，這些數字通常未涉及實際的量子損害及其連鎖反應。在瘋狂追趕上市時間的壓力之下，應用開發者可能沒有全面考慮資料安全和使用者隱私，只給企業提供了初級的臨時預防威脅的工具。當邊界安全在應用層激發了不安全的程式碼，執行時安全只是更進一步地重現這種攻擊。這場混亂之後，應當如何阻止應用安全消失在眾所周知的百慕大三角中，即範圍、進度和預算？現在，讓我們瞭解一下常見的應用安全風險以及降低風險的方法：

風險：安全人員對執行時監控工具的支援不足

當令人費解的網路邊界理念開始被視為異想天開，不切實際時，執行時應用自我保護就產生了，安全公司也下決心把防禦層從邊界轉移到主機。不過 RASP 只能處理像 CSRF 和 SQLi 這些小範圍的網路應用漏洞，開發者也可以不費吹灰之力地解決這些相對較小的威脅。

對於 RASP 和 WAF，更大的問題在於他們缺乏漏洞校正功能。本質上來說，他們所做的就是設立臨時障礙，而後者會成為檢測漏洞的“依託”。若這種依託和臨時修復未能得到記錄與儲存，且未能傳到 IT 經理和高管那裡，那麼，隨著時間的推移，他們可能就被忽視了。因為在大家的印象中，這些漏洞已經得到修復。

你能做什麼: 企業需要把安全滲透到開發團隊的核心，更精確地說是讓它成為 DevOps 的關鍵策略。可以尋求安全態勢分析師的幫助，他們會協助你制定詳盡的計劃和政策來管理補丁，記錄日誌和生命週期文件。這將能使你的企業知道哪種解決方案最適合你的業務線、端點、平臺、規模以及品牌形象意識。

風險：目光短淺的計劃

RASP 和 WAF 二者都是僅僅在應用的核心增設一層防護，並沒有幫助構建安全的應用程式。企業遲早都得面對這個艱難而又迫在眉睫的決定：是購買一個 RASP 補償控制擴充套件程式以實現零日漏洞，還是從開發人員處尋求修復方法。中小型企業在權衡妨礙業務連續性與部署成本時，往往難以作出抉擇。

你能做什麼：設法充分預見長期利益，全面瞭解安全實現、產品及工具的侷限性。詳盡的威脅偵測，除了能保持企業對具體情境中的漏洞感知，也對防禦戰術進行了重點分析，並對威脅源與危險行為做了闡釋。因此，缺少此類偵測的風險緩解計劃是不夠完整的。

風險：全權委託執行時監控

執行時安全設計的目的在於阻止實時攻擊，但極易產生誤報。他們會把不常見的流量當成異常流量，阻止程式碼執行，從而破壞資料可用性——最終造成給各種各樣的 DoS 自身攻擊。WAF 的智慧之處盡在其簽名基類和模式匹配資源，但 WAF 並不知道應用程式如何處理使用者的輸入，它只知道阻止“似乎”是惡意的輸入。你可能已經猜到，黑客可以製造更巧妙的攻擊，這些攻擊偽裝成為無害的請求來欺騙 WAF 過濾器。

你能做什麼：基本思想是人與技術保持同步。工具容易產生誤報，且不能獨自決定如何採取行動。安全專家需要不斷地對工具進行監控，以解釋複雜攻擊的本質並將其從常規的效能測試流量中區分出來。

還有一個重要的結論是，儘管 RASP 可以使你的應用具備自我保護能力，但這也意味著它能誘使黑客深入儲存棧，而可能還存在其他將黑客鎖定在網路邊界外部的方法。這種情況就需要安全顧問的指導，他會灌輸魯棒文化，通過多層安全基礎措施來防止你的預算向單一且明顯不嚴密的防禦機制傾斜。

安全狀態評估，從協助開發安全程式碼著手，通過一個成熟的風險管理計劃，並以客製化的威脅分析作為強大後盾，給你帶來各種好處。安全工具或許可以找出並阻止某些預定義的活動，人為滲透測試卻可以打破陳規，並模仿那些盡其所能躲避標準入侵預防簽名的攻擊者。

原文連結：http://blogs.alephtavtech.com/application-security/avoid-these-application-security-risks/

本文轉自 OneAPM 官方部落格