前瞻性規(guī)劃對(duì)于任何企業(yè)的成功都至關(guān)重要,這既適用于Web應(yīng)用程序安全和漏洞管理,也適用于任何其他方面。實(shí)施提供的那種WAF(Web應(yīng)用程序防火墻)是至關(guān)重要的一步,不僅可以避免大量時(shí)間和精力,還可以阻止惡意黑客攻擊和入侵。
為什么Web應(yīng)用程序漏洞管理很重要?
任何負(fù)責(zé)使用網(wǎng)絡(luò)瀏覽器運(yùn)行特定功能的計(jì)算機(jī)程序都稱為網(wǎng)絡(luò)應(yīng)用程序。在這種情況下,計(jì)算機(jī)或運(yùn)行該程序的任何其他設(shè)備以前曾充當(dāng)客戶端,但網(wǎng)絡(luò)瀏覽器在網(wǎng)絡(luò)應(yīng)用程序方面提供該功能。
Web應(yīng)用程序與當(dāng)今世界的日常生活交織在一起,每天在家庭和工作中使用數(shù)千次。它們具有許多優(yōu)勢(shì),包括可擴(kuò)展性和靈活性以及更大的冗余,可用性不再受所用設(shè)備類(lèi)型或訪問(wèn)位置的影響。這意味著可以隨時(shí)隨地進(jìn)行協(xié)作,并且開(kāi)發(fā)人員能夠根據(jù)特定業(yè)務(wù)的精確需求擴(kuò)展和定制Web應(yīng)用程序。
然而,由于兼容Web應(yīng)用的設(shè)備非常分散,這意味著需要擔(dān)心的威脅數(shù)量也隨之增加,安全策略需要能夠應(yīng)對(duì)整個(gè)具有 Web 的互聯(lián)系統(tǒng)。應(yīng)用程序訪問(wèn)以解決任何可能的威脅入口點(diǎn)。
因此,積極主動(dòng)并提前制定Web應(yīng)用程序漏洞管理計(jì)劃至關(guān)重要,而不是在漏洞已經(jīng)發(fā)生后才采取被動(dòng)措施。這樣做不僅會(huì)提高您組織的可靠性和聲譽(yù),還會(huì)顯著降低損壞成本。
根據(jù)Ponemon Institute的一項(xiàng)研究,Web應(yīng)用程序攻擊每年給公司造成大約 310 萬(wàn)美元的損失。技術(shù)支持和事件響應(yīng)是最大的資源消耗,連接到Web應(yīng)用程序的數(shù)據(jù)的絕對(duì)水平更令人擔(dān)憂,僅一次漏洞就能夠影響數(shù)百萬(wàn)人,破壞客戶與供應(yīng)商之間的信任公司,并泄露了非凡的 PII 數(shù)量。在貨幣和公共關(guān)系方面,Web應(yīng)用程序漏洞管理的開(kāi)發(fā)再重要不過(guò)了。
如何進(jìn)行成功的網(wǎng)絡(luò)安全評(píng)估?
為了確保Web應(yīng)用程序安全評(píng)估的成功,需要使用許多簡(jiǎn)單的構(gòu)建塊。
1.宗旨
您的目標(biāo)只是您希望您的公司達(dá)到的與Web應(yīng)用程序漏洞管理相關(guān)的特定端點(diǎn)。大多數(shù)組織最重要的目標(biāo)之一是確保有一個(gè)記分卡來(lái)持續(xù)衡量安全風(fēng)險(xiǎn)狀況,并采取措施確保他們已準(zhǔn)備好接受所有合規(guī)性/審計(jì)請(qǐng)求,以滿足那些已成為許多在線強(qiáng)制性準(zhǔn)則的準(zhǔn)則企業(yè)。
2.目標(biāo)
目標(biāo)本質(zhì)上是在實(shí)現(xiàn)公司主要目標(biāo)的過(guò)程中需要滿足的較小目標(biāo)。例如,為在接下來(lái)的 12 個(gè)月內(nèi)進(jìn)行的安全測(cè)試制定定期Web應(yīng)用程序計(jì)劃。這可以每月或每四個(gè)月進(jìn)行一次,也可以在業(yè)務(wù)Web應(yīng)用程序進(jìn)行代碼更改的任何時(shí)候進(jìn)行,此外還可以使用自動(dòng)化工具進(jìn)行按需/每日評(píng)估。
3.策略
公司制定的戰(zhàn)略將決定他們將如何進(jìn)行Web應(yīng)用程序安全性測(cè)試。策略可能涉及外部安全測(cè)試資源或在內(nèi)部完成,還將處理需要使用的工具,包括 Web 漏洞掃描器之類(lèi)的工具,以及將要測(cè)試的精確Web應(yīng)用程序和網(wǎng)站與 KPI 一起制定的計(jì)劃來(lái)衡量執(zhí)行輸出。
4.方法
方法本質(zhì)上是更小的策略,詳細(xì)說(shuō)明了成功執(zhí)行Web應(yīng)用程序安全測(cè)試所需采取的精確步驟。樂(lè)于從他人的例子中學(xué)習(xí)并記住Web應(yīng)用程序安全測(cè)試很容易被限制在范圍內(nèi),這一點(diǎn)很重要。雖然不可能同時(shí)測(cè)試所有內(nèi)容,但應(yīng)立即測(cè)試所有關(guān)鍵業(yè)務(wù)應(yīng)用程序,即使從長(zhǎng)遠(yuǎn)來(lái)看最終應(yīng)該檢查所有 Web 系統(tǒng)也是如此。如果關(guān)鍵應(yīng)用程序未經(jīng)測(cè)試,或者高優(yōu)先級(jí)漏洞未被發(fā)現(xiàn),則該領(lǐng)域內(nèi)的任何疏忽都可能對(duì)企業(yè)造成嚴(yán)重的負(fù)面影響。
結(jié)論
Web應(yīng)用程序漏洞管理計(jì)劃的制定是有一個(gè)過(guò)程的,新的挑戰(zhàn)總會(huì)隨之而來(lái)。現(xiàn)有的安全措施需要不斷重新評(píng)估以找到需要改進(jìn)的地方,安裝高質(zhì)量的Web應(yīng)用程序防火墻是絕對(duì)必要的。
