應(yīng)用程序安全評(píng)估是對(duì)組織安全狀況的綜合評(píng)估。Web 應(yīng)用程序安全評(píng)估是一個(gè)持續(xù)的過(guò)程;不是一年一次的活動(dòng)或合規(guī)手續(xù)。它必須從 SDLC 階段集成到應(yīng)用程序生命周期中,以實(shí)現(xiàn)有效的安全性。為了使應(yīng)用程序安全評(píng)估有效且令人滿意,它們必須包括 12 個(gè)關(guān)鍵組件。繼續(xù)閱讀以了解這些組件是什么。
有效應(yīng)用安全評(píng)估的 12 個(gè)必備組件
1. 定義明確的應(yīng)用程序安全策略和流程與業(yè)務(wù)影響相一致
Web 應(yīng)用程序安全評(píng)估不會(huì)自動(dòng)導(dǎo)致應(yīng)用程序安全。安全評(píng)估確定了幾個(gè)細(xì)粒度的漏洞,所有這些漏洞都不需要修復(fù)。該決定將取決于明確定義且不斷發(fā)展的安全策略和流程中建立的目標(biāo)、目的和范圍。
安全策略和流程將建立策略、補(bǔ)救策略、事件響應(yīng)計(jì)劃、補(bǔ)丁管理規(guī)則、可接受的行為等。他們將定義掃描、安全審計(jì)和滲透測(cè)試的頻率和范圍。為了有效地最小化 Web 應(yīng)用程序安全帶來(lái)的風(fēng)險(xiǎn)和最大化 ROI,策略和實(shí)踐必須與業(yè)務(wù)風(fēng)險(xiǎn)和影響相關(guān)聯(lián)。這要求企業(yè)識(shí)別關(guān)鍵任務(wù)資產(chǎn)、關(guān)鍵漏洞并優(yōu)先考慮其安全性。
2. 資產(chǎn)發(fā)現(xiàn)和管理
如果不了解清單,就不可能進(jìn)行令人滿意的應(yīng)用程序安全評(píng)估。在這里,企業(yè)需要規(guī)劃他們的 IT 環(huán)境以發(fā)現(xiàn)、分類和記錄他們的資產(chǎn)。應(yīng)用程序處于不斷變化的狀態(tài),其中包含多個(gè)移動(dòng)部件和第三方組件。這種敏捷的 IT 環(huán)境意味著正在添加新的資產(chǎn),這些資產(chǎn)需要被識(shí)別并包含在評(píng)估范圍內(nèi)。同樣,一些資產(chǎn)和組件可能會(huì)變得多余,從而產(chǎn)生新的漏洞;在被攻擊者識(shí)別之前,它們需要被識(shí)別和刪除。
3. 控制分析
企業(yè)通常會(huì)采取一些安全控制措施來(lái)識(shí)別威脅和漏洞并降低風(fēng)險(xiǎn)。這可能包括防火墻、防病毒、反惡意軟件、掃描工具、訪問(wèn)控制、身份驗(yàn)證實(shí)踐等。通過(guò)控制分析,識(shí)別出這些控制。在這里,準(zhǔn)備了基于角色的訪問(wèn)控制指標(biāo),以了解不同用戶組的授權(quán)級(jí)別。這是安全審計(jì)和滲透測(cè)試的有用信息。
4. 威脅情報(bào)
成功的應(yīng)用程序安全評(píng)估必須包括主動(dòng)威脅識(shí)別。鑒于威脅形勢(shì)是動(dòng)態(tài)的,企業(yè)需要了解它們面臨的所有潛在威脅(現(xiàn)有的和新興的)、被攻擊的可能性以及成功攻擊的影響。為此,掃描工具、Web 應(yīng)用程序防火墻和其他安全工具必須實(shí)時(shí)添加來(lái)自全球的最新威脅情報(bào),以進(jìn)行有效的持續(xù)評(píng)估和威脅預(yù)防。
5. 連續(xù)應(yīng)用掃描
成功的安全評(píng)估要求企業(yè)不斷識(shí)別其應(yīng)用程序、系統(tǒng)、第三方組件、軟件、代碼等中存在的漏洞、安全漏洞、弱點(diǎn)、缺陷等。因此,安全漏洞評(píng)估是必要的。WAS等自動(dòng)化應(yīng)用程序掃描工具可有效識(shí)別各種漏洞,包括 OWASP Top 10。此外,結(jié)合放置在網(wǎng)絡(luò)外圍的托管、直觀的WAF ,您可以自動(dòng)修補(bǔ)漏洞直至修復(fù)。
6. 滲透測(cè)試
雖然掃描工具可以識(shí)別大量漏洞,但它們無(wú)法檢測(cè)未知漏洞和業(yè)務(wù)邏輯缺陷。他們也不會(huì)告訴 IT 安全團(tuán)隊(duì)已知漏洞的可利用性。這就是為什么滲透測(cè)試是必要的,因?yàn)樗沂玖?Web 應(yīng)用程序安全的這些方面。它們清楚地展示了現(xiàn)有安全防御在保護(hù)應(yīng)用程序方面的有效性。
7. 誤報(bào)管理
誤報(bào)會(huì)消耗 IT 安全團(tuán)隊(duì)的時(shí)間和資源。通過(guò)使用 AppTrana 進(jìn)行誤報(bào)管理,企業(yè)可以確保零誤報(bào)并消除不必要的干擾。
8. 可能性確定
通過(guò)可能性確定,企業(yè)根據(jù)安全漏洞評(píng)估、控制分析和威脅識(shí)別的結(jié)果來(lái)評(píng)估攻擊/違規(guī)的概率。該組件可幫助企業(yè)將面臨的威脅分類為高、中、低,并據(jù)此制定戰(zhàn)略。
9. 影響分析
通過(guò)影響分析,企業(yè)可以評(píng)估成功的安全攻擊可能造成的潛在損害。企業(yè)必須考慮財(cái)務(wù)損失、合規(guī)性、法律成本、聲譽(yù)損害、客戶流失等因素。
10. 應(yīng)用安全風(fēng)險(xiǎn)評(píng)估
安全風(fēng)險(xiǎn)是威脅和漏洞的函數(shù)。使用威脅的可能性、資產(chǎn)的脆弱性和應(yīng)用程序安全風(fēng)險(xiǎn)評(píng)估期間的潛在影響來(lái)量化風(fēng)險(xiǎn)。此外,為所有資產(chǎn)創(chuàng)建風(fēng)險(xiǎn)評(píng)級(jí)。根據(jù)風(fēng)險(xiǎn)評(píng)級(jí),對(duì)資產(chǎn)進(jìn)行優(yōu)先排序,并采取補(bǔ)救和安全措施。
11. 安全建議
有效的 Web 應(yīng)用程序安全評(píng)估的另一個(gè)重要組成部分是安全建議。確定當(dāng)前風(fēng)險(xiǎn)后,企業(yè)需要重新制定戰(zhàn)略并規(guī)劃其安全防御,以確保穩(wěn)健的安全態(tài)勢(shì)。
12. 結(jié)果文檔
記錄安全評(píng)估的結(jié)果勢(shì)在必行。生成的詳細(xì)報(bào)告可作為高層管理人員就應(yīng)用程序安全做出關(guān)鍵決策的基礎(chǔ),包括預(yù)算、流程、程序等。它還為隨著時(shí)間的推移跟蹤和監(jiān)控關(guān)鍵指標(biāo)提供了堅(jiān)實(shí)的基礎(chǔ)。
結(jié)論
應(yīng)用程序安全評(píng)估使企業(yè)能夠了解其安全狀況。這些評(píng)估必須包括上述 12 個(gè)關(guān)鍵組成部分才能進(jìn)行有效評(píng)估。
