随着网络威胁变得越来越强大和广泛,组织必须不断检查应用程序中的安全漏洞。
应用程序安全性是一个通过查找、修复和增强应用程序安全性来提高应用程序安全性的过程。其中大部分发生在开发阶段,但它包括一些工具和方法来保护部署后的应用程序。随着黑客越来越多地攻击组织使用的应用程序,这变得越来越重要。
应用程序的安全性引起了很多关注。数百种工具可用于保护应用程序组合的各种元素,从锁定代码更改到评估无意的编码威胁、评估加密选项以及审计和访问权限。如今,移动应用程序、基于网络的应用程序和防火墙都有专门为网络应用程序设计的特殊工具。
为什么应用程序安全很重要
根据Veracode发布的第10卷软件安全状态调查报告,该公司测试的85000个应用程序中有83%至少存在一个安全漏洞。许多应用程序有更多的漏洞,因为他们的研究发现这些应用程序中总共有1000万个漏洞,其中20%至少有一个非常严重的漏洞。并非所有这些漏洞都构成重大安全风险,但数量令人不安。
在软件开发过程中,组织发现和修复安全问题越快,其业务就越安全。因为每个人都会犯错,所以组织面临的挑战是及时发现错误。例如,常见的编码错误可能允许未经验证的输入。此错误可能成为一种SQL注入攻击,如果被黑客发现,将导致数据泄漏。
集成到应用程序开发环境中的应用程序安全工具可以使这个过程和工作流更加简单和有效。如果组织正在进行法规遵从性审计,这些工具也很有用,因为它们可以在审计人员发现问题之前发现问题,从而节省时间和金钱。
在过去几年中,企业应用程序的构建方式一直在变化,这推动了应用程序安全性的快速增长。如今,信息技术部门需要几个月来完善需求、构建和测试原型以及向最终用户交付最终产品的日子已经一去不复返了。现在这个想法似乎有点过时了。
相反,如果组织采用持续部署和持续集成的新工作方法,这些方法会每天(有时每小时)优化应用程序。这意味着安全工具必须在这个快速变化的世界中工作,并快速发现代码问题。
Gartner,一家研究机构,在其2018年9月发布的关于应用安全宣传周期的报告中表示,信息技术经理需要识别常见的应用开发安全错误,防止常见的攻击技术。他们提供了十几种不同类别的产品,并描述了他们在“炒作周期”中的地位。
这些类别中的许多仍在出现,相对较新的产品正在被使用。这表明,随着威胁变得更加复杂和难以检测,以及对企业网络、数据和声誉的潜在损害变得更加严重,市场正在迅速发展。
应用程序的安全工具
虽然应用安全软件产品种类繁多,但问题的症结在于两个方面:安全测试工具和应用屏蔽产品。前者拥有相对成熟的市场,拥有数十家知名制造商,其中一些是软件行业的巨头,如IBM、CA和MicroFocus。这些工具如此完美,以至于高德纳创建了它的魔力象限,并对它的重要性和成功进行了分类。评论网站,如信息技术中心站,也能够调查和排名这些供应商。
Gartner将安全测试工具分为几大类,有助于确定保护应用程序组合的方式:
查看测试工具的另一种方式是通过内部部署工具或基于SaaS的订阅服务交付测试工具,在订阅服务中提交代码进行在线分析。有些人甚至两者兼而有之。
警告是每个测试供应商都支持的编程语言。有些人将他们的工具限制在一两种语言(Java通常是安全的选择)。其他人更多地参与微软。Net域。集成开发环境也是如此:一些工具可以作为插件或这些集成开发环境的扩展来运行,所以测试代码就像点击按钮一样简单。
另一个问题是,是否有任何工具从其他测试结果中分离出来,或者可以整合到它们自己的分析中。IBM是少数几家能够从手动代码审查、渗透测试、漏洞评估和竞争对手测试中引入发现的公司之一。这可能会有所帮助,尤其是在企业有多个工具需要跟踪的情况下。
此外,不要忘记使用屏蔽工具。这些工具的主要目的是增强应用程序的安全性,从而使攻击更加困难。这是一个不确定的领域。在这里,你会发现大量的小点产品。在许多情况下,这些产品的历史和客户基础非常有限。这些产品的目标不仅是测试漏洞,而且是积极防止组织的应用程序被损坏或破坏。它们包括几个不同的类别:
运行时应用程序自我保护(RASP):这些工具可以被认为是测试和屏蔽的结合。它们提供了防止可能的逆向工程攻击的措施。运行时应用程序自我保护(RASP)工具持续监控应用程序的行为,这在移动环境中非常有用,尤其是当移动环境可以重写应用程序、在移动电话上运行应用程序或滥用权限将其转化为恶意行为时。运行时应用程序自我保护(RASP)工具可以发送警报,终止错误进程,或者在发现威胁时终止应用程序本身。
运行时应用程序自我保护(RASP)可能成为许多移动开发环境中的默认设置,并作为其他移动应用程序保护工具的一部分内置。预计软件供应商之间会有更多的联盟,并有可靠的运行时应用程序自我保护(RASP)解决方案。
应用程序安全挑战
问题是信息技术必须确保用户应用程序的安全性。首先,它们必须满足不断增长的安全和应用程序开发工具市场的需求,但这仅仅是一个起点。
随着越来越多的企业对数字产品的研究越来越深入,他们的应用程序组合需求将演变成更复杂的基础设施,因此信息技术部门也必须预测业务需求。他们还必须了解如何建设和保护SaaS服务。这是一个问题,因为最近对500名信息技术经理的调查发现,许多人缺乏软件设计知识。“首席信息官可能会发现自己处于组织的顶层,因为他们负责降低复杂性、维持预算和加速现代化以满足业务需求,”该报告称。
最后,应用程序安全的责任可能分散在组织的信息技术操作中的许多不同团队中:网络人员可能负责运行网络应用程序防火墙和其他以网络为中心的工具,服务器人员可能负责运行面向端点的测试,各种开发团队可能还有其他顾虑。这使得很难提出一种能够满足每个人需求的工具,这就是市场变得如此分散的原因。
应用程序安全性趋势
2019年1月,Imperva发布了其网络应用程序的漏洞状态。总体调查结果是积极的。尽管网络应用程序漏洞的数量持续增长,但这种增长正在放缓。
这主要是由于物联网漏洞的减少。2018年,仅报告了38个新的漏洞,而2017年为112个。另一方面,美国石油学会的漏洞在2018年增加了24%,但还不到2017年56%增长率的一半。
根据Imperva调查报告,出现更多漏洞的另一个领域是内容管理系统,尤其是Wordpress。平台报告的漏洞数量增加了30%。
该报告指出,虽然Drupal的内容管理系统不如Wordpress的受欢迎,但存在两个漏洞:Drupalgeddon2(CVE-2018-7600)和Drupalgeddon3(CVE-2018-7602)是网络攻击者的主要目标。两者都允许攻击连接到后端数据库,使用恶意软件扫描和感染网络和客户端,或者挖掘加密货币。Imperva声称在2018年利用这些漏洞阻止了50多万次攻击。
Veracode调查报告显示,最常见的缺陷类型是:
信息泄露(64%)、密码问题(62%)、CRLF注入(61%)、代码质量(56%)、输入验证不足(48%)、跨站点脚本(47%)、目录遍历(46%)、证书管理(45%)
这些百分比代表了测试应用程序的普遍性。自从维拉科十年前开始跟踪这些漏洞以来,上述所有漏洞的发生率都有所增加。
Veracode研究发现的一个积极趋势是,应用程序扫描修复应用程序缺陷的速度和时间差异很大。整体修复率(尤其是高严重缺陷)正在上升,从2018年的52%上升至56%,最高修复率为75.7%。经常扫描和测试软件的开发团队(DevSecOps)将减少修复缺陷的时间。每年扫描12次或更少的应用程序的平均维护时间为68天,而每天或更长时间的平均扫描时间将减少到19天。
极牛网精选文章《什么是应用程序安全性?用于保护软件的过程和工具》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4559.html