企业应用程序安全的新「守护神」
Aberdeen 曾提出一份报告,针对机构应该如何优先管理积极风险的问题,提出了考虑将 Runtime Application Self-Protection (RASP) 作为企业应用程序安全的主流选择的建议。
企业应用程序安全新方案
1.企业的应用程序组合数量庞大、复杂且笨重,对业务影响极大
不管从哪个方面来看,应用程序组合对企业实现战略业务目标都至关重要。
然而,典型的企业应用程序组合又总是数量庞大、复杂而且笨重。企业应用程序的数量与复杂程度包括以下几方面:
传统的企业支持应用程序的数量从几十到几百,更不要提用户安装在智能手机、平板电脑和笔记本电脑的上成百上千个移动应用程序了——有些受支持,但是大部分不受支持。
当下,企业应用程序类别更有自己额外的复杂分级,其中有些应用程序可能由内部开发团队、外包开发团队、代表企业的系统集成人员,或者是这些开发团队选用的开源社区进行开发并维护的——而且更有可能的是由以上几个团队共同完成。
至于应用程序交付平台,各个组织机构都迫切希望利用虚拟化和云计算灵活性和低成本带来的便利——不过他们在可见性和可控性方面依然十分谨慎,尤其是涉及核心商业的那些应用程序
这里最重要的启发是,按照定义来说,企业的应用程序档案对组织实现战略商业目标至关重要——然而随着时间推移,这个档案必然会变得越来越庞大,越来越复杂。
2. 这就让犯罪分子有了可乘之机:为什么你的企业应用程序会遭到攻击?
攻击者越来越致力于攻击核心、战略型目标,从而使他们的付出得到的回报最大化。
服务器最容易受到攻击,大概是因为攻击者知道那里储存着数据。
这个观点在 Verizon 发布的《 2015 年数据泄露调查报告》中得到了验证。经分析,过去十几年来超过 90% 的数据泄露事件所用的攻击方法只有九种——而且在这期间导致数据泄露最多的攻击方法就是攻击网站应用程序。
表1:已确认的数据泄露事件,2006-2014年
攻击类型 | 确认数量 |
---|---|
网络应用程序攻击 | 458 (26%) |
销售点入侵 | 419(24%) |
网络间谍 | 290(17%) |
犯罪软件 | 287(17%) |
内部误用 | 129(7%) |
信用卡盗用 | 108 (6%) |
盗窃 | 35(2%) |
其它错误 | 11 (1%) |
合计 | 1737(100%) |
信息来源:《 Verizon 2015 DBIR 》节选;Aberdeen 集团,2015年6月。
在表 1 所示的同一个时间段内(2006-2014年),一共有 60879 家企业加入了国家漏洞数据库,因此安全意识并不是问题所在。真正的挑战在于搞清楚应该做什么,说服其他人这么做是值得做的,真正去做——并且在飞速变化的环境中坚持不断去做!
目前的 20 个关键安全控制(5.1版)还带来了8个更高级别的要求,Aberdeen 已经将其修订成适用于应用程序安全问题的内容:
- 了解在你的网络环境中有哪些应用程序
- 确保你的应用程序得到安全配置
- 确保你的应用程序安装补丁,并及时更新
- 备份并保护你的重要数据
- 保护你的网络
- 管理你的用户、用户账号以及他们对企业应用程序的访问
- 注意周围环境发生的变化
- 时刻准备着对出现的问题进行响应
3. 确保企业应用程序安全的三个策略以及一个新的备选方案
这些探讨中不可避免地遇到的问题可以最终归结为安全、商业目标、整体成本以及某种程度上的管理哲学等问题的集合。
策略 | 描述 | 技术例证 |
---|---|---|
搜索和修复 | 尝试识别目前开发的应用程序中的安全漏洞(一般由安全团队完成),然后由开发团队解决。 |
-网络漏洞扫描 -应用程序发现 -应用程序漏洞扫描 -渗透测试 -道德攻击 |
防御和延迟 | 增强目前开发的应用程序的安全性,减少或延迟需要开发团队解决的安全漏洞。 |
-网络应用程序防火墙 (WAF) -应用级代理 -网页安全(网页监控/过滤) -虚拟批处理 -实时应用程序自我保护 (RASP) |
根源保障 | 将安全测试实践、工具和测试加入软件开发生命周期 (SDLC),在应用程序部署之前消除更多安全漏洞。 |
-源代码审核(手动) -软件测试(包括单元测试、功能测试、性能测试、验收测试和安全测试) -源代码分析和验证(包括静态、动态和互动) -第三方应用软件测试 |
信息来源:Aberdeen 集团,2015年6月。
4. 一个新的备选方案:Runtime Application Self-Protection (RASP)
一种新的确保应用程序安全的方法已经出现,它被称为 Runtime Application Self-Protection (RASP)。
RASP 的概念是把安全保护代码内嵌(或者有时候被称为安装)到某个应用程序的运行环境,实时提供该应用程序详细可见的收到的请求。关键点是,这种可见信息来自应用程序本身,而不是来自网络的变化。
另外,RASP 技术是被设计用来分析应用程序本身的流量和上下文,以区别于正常的应用程序行为和危险行为。
在这些性能的基础上,RASP 提供的正是 Aberdeen 在《Putting Threat Intelligence in Perspective 》(2014年12月)中探讨的威胁情报,它具有至少四个显著特点(表3)。
表3:威胁情报的四个特点及其在 RASP 中的体现
危险情报特点与描述 | 实时应用程序自我保护 (RASP) | |
---|---|---|
来自合格可信的第三方来源。 | 考虑基础设置防护的水平和复杂程度,信息优势是防卫者打败攻击者的最佳方式。 | 在 RASP 模式下,信息来源是企业自己的应用程序档案。 |
提供主动攻击活动的洞察力。 | 我们已经拥有的大量潜在威胁、漏洞、利用信息,与主动攻击活动的实际“谁、什么、哪里、何时和如何”信息有很大的不同。 | RASP 的设计目的是为内置 RASP 的企业应用程序提供主动攻击的“谁、什么、哪里、何时和如何”信息。 |
为组织风险提供获取相关见解的方法。 | 在我们的组织的特定语境下,风险总是具备相似性和商业影响的作用。情报结合自知之明是确定正确、基于风险的行动的唯一方法。 | 在 RASP 模式下,组织明白他们在管理真正的应用程序攻击,而不是管理漏洞带来的后果以及未来应用攻击的可能性。待修复漏洞的优先级和理由就会变得清楚明确。 |
包括活动或额外帮助的选项。 | 获取情报很重要,但是在需要的时候能够具备能够有效响应的知识和能力更为关键,这样才能获得情报的真正价值。 | RASP 的设计目的是实时消除恶意应用程序行为,并发出警报来提醒组织优先处理关键事务。 |
信息来源:Aberdeen 集团,2015年6月。
如果你所在的组织机构还未采用 RASP 来维护应用程序安全,以下分析强烈建议你们主动考虑采用这种新的备选方案 RASP。首先,需要评价的逻辑维度包括以下几点:
支持贵机构应用程序组合所用的编程语言
解决方案实时分析的准确性
解决方案在应用程序中的表现
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想技术文章,请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客
转载于:https://www.cnblogs.com/oneapm/p/5226708.html
企业应用程序安全的新「守护神」相关推荐
- 每个程序员都可以「懂」一点 Linux
点击上方"马蜂窝技术",关注订阅更多优质内容 提到 Linux,作为程序员来说一定都不陌生.但如果说到「懂」Linux,可能就没有那么多人有把握了.到底用 Linux 离懂 Lin ...
- 企业挖角 AI 教授是不是「原罪」?
雷锋网 AI 科技评论按:AI 学者该不该在企业挂职?挂职的话,精力又该如何分配?这些问题随着 AI 的全面火热在学界频频被提起.最具代表性的一次交锋,要属去年 8 月份 Yann LeCun 与 U ...
- 汽车软件赛道的新「困局」
在过去几年时间,不少上市公司都将智能汽车赛道作为未来寻求增量空间的选项之一,这里既有传统汽车零部件公司,也有跨界玩家,后者大部分来自消费.工业或者安防等领域. 这其中,消费类电子相关行业的公司,进入汽 ...
- 粉丝圈配置小程序服务器,粉丝圈「企业版」来了!小程序,绑定域名,服务号授权...全新功能等你来体验...
原标题:粉丝圈「企业版」来了!小程序,绑定域名,服务号授权...全新功能等你来体验 粉丝圈,是目前国内最大的微信社区.运营至今,我们汇聚了百万圈子,互动了亿万粉丝,每天累计活跃用户数百万.中国联通.陕 ...
- 新冠全球确诊超2亿!德尔塔后,新「毒王」拉姆达已蔓延32国
转自:新智元 [导读]刚刚,新冠全球确诊已超2亿.然而,德尔塔超强传播力的恐慌尚未平息,拉姆达(λ)变异毒株又引起了高度重视.它不仅具有高度传染性,而且或能逃避疫苗保护.全球警钟再次拉起! 2亿. 令 ...
- 这群程序员中的「广告狂人」,把抖音广告做成了AR游戏
在大部分人印象里,广告总是占据屏幕却平平无奇.但现在,广告也可以有丰富的玩法和有趣的互动,充满创新. 比如,你在刷抖音的时候,有没有玩过这些AR互动广告? 瞄准悬浮在空中的菜品,它们就都成了射击的靶子 ...
- 这款开源神器,堪称程序员界的「瑞士军刀」!
公众号关注 "GitHubDaily" 设为 "星标",每天带你逛 GitHub! 大家好,我是小 G. 正所谓「工欲善其事,必先利其器」,在日常开发过程中,如 ...
- 企业费控,驶向「一体化」
在数字化于企业内部各个环节实现平权.成为标配的当下,财务,这个被称为"控制企业生命力"的核心环节,是否应该拥有新的价值? 作者| 皮爷 出品|产业家 2022年年中,施伟和分贝通的 ...
- Java程序员被狠狠「暴击」,网友:愿天堂没有计算机 ....
都说一入Java深似海,从此代码是爱人,但是学习的过程却从来都不轻松. 当下,越来越多的互联网企业,招聘Java工程师时,明确写道需熟练掌握JavaWeb技术.作为衔接前后端的重要一环,JavaWeb ...
最新文章
- 提气!清华成立集成电路学院,专研“卡脖子”技术
- 小巧数据库 Derby 使用攻略
- ASP.NET中常用功能代码总结(3)——上传图片到数据库
- Spring底层控制反转解耦合(IOC)
- envoy实现_如何利用 Envoy 的 Postgres 过滤器实现网络可观察性
- navicat怎么设计教室管理信息系统_基于师生体验设计的智能教室是怎么样的?...
- 使用 vs 2008 宏制作自动注释工具
- OpenCV2+入门系列(一):OpenCV2.4.9的安装与测试
- USB网卡驱动分析(rt8152)
- 【无线链路】无线发射功率以及接收灵敏度
- C语言练手项目—流星雨表白—程序员的浪漫—脱单神器
- 远程调试监视器 已在计算机上关闭,错误:“Microsoft Visual Studio 远程调试监视器”(MSVSMON.EXE) 似乎没有在远程计算机上运行。...
- 案例:使用pre_trained模型进行VGG
- 故障恢复控制台的启动方法
- 快速申请注册微信小程序的方法
- 免费在线汉字简体繁体转换工具
- 【无标题】黑炫酷的监控界面,实际上是用了什么开源工具?
- Win11电脑外接显卡后蓝屏?Win11显卡坞一打开就蓝屏的解决方法
- 未来的春晚,可能就不需要活的主持人了
- C语言生成随机数和随机数组
热门文章
- OSChina 周二乱弹 ——震惊!女友当着男友在大众面前竟和陌生男人做出这事!...
- 安卓手机主题软件_安卓手机垃圾清理软件!推荐必备!
- 一卡通管理系统 模块详细设计
- CentOS软件管理 - YUM工具
- 大数据图解美国华人高层次科技人才!
- [洛谷 1365] WJMZBMR打osu! / Easy {期望DP}
- ERP系统31.83版本发布,一键极速连接企业供应链!
- android中的热词搜索的实现
- Mac 地址与 IP 地址有什么区别?
- 在线导航测试软件,性能测试三:无网络状态下导航_软件资讯软件评测-中关村在线...