应用安全技术趋势之 Top 5
而今,大多数应用都依赖于像入侵防护系统(Instrusion Prevention System)和 Web 应用防火墙(Web Application Firewall,以下全文简称 WAF)这样的外部防护。然而,许多这类安全功能都可以内置到应用程序中,实现应用程序运行的自我保护。
1. 实时应用自我保护
实时应用自我保护(以下全文简称 RASP),是一个应用程序运行时环境的组成部分,它可以实现为 Java 调试界面的扩展。RASP 可以检测到应用程序在运行时试图往内存中写入大量数据的行为,或者是否存在未经授权的数据库访问。同时,它具有实时终止会话、和发出告警等功能。WAF 和 RASP 的合作相辅相成,WAF 可以检测到潜在的攻击,而 RASP 可以通过研究应用内部的实际响应数据来验证潜在的攻击是否具有威胁性。
毋庸置疑,内置于应用程序的RASP,比那些只能获取 App 有限的内部进程信息的外接设备更加强大。
2. 协同安全智能
说到协同安全智能,笔者认为协同安全的意义是不同应用安全技术间的协作或集成。
动态应用程序安全测试(以下全文简称 DAST) + 静态应用程序安全测试(以下全文简称 SAST):DAST 不需要访问代码并且易于实现。另一方面,SAST 需要访问代码,但是对应用程序的内部逻辑了解更为深入。这两种测试技术各有利弊,但是两种测试结果的关联和结合,能极大提高安全测试的价值:即他们不仅可以降低误报率,也可以发现更多安全漏洞,从而提高测试效率。
SAST + DAST + WAF(即静态 + 动态应用程序安全测试 + Web 应用防火墙):这个组合可以把 SAST 或 DAST 技术检测到的安全漏洞提供给 WAF 作为输入信息。这些漏洞信息可以用来创建特定的规则集,从而 WAF 甚至可以在修复方案实施之前制止漏洞带来的攻击。
SAST + DAST + SIM / SIEM(安全事故管理/安全事故事件管理,以下全文对应简称 SIM 或 SIEM):通过 SAST 或 DAST 检测到的漏洞信息对于 SIM 或 SIEM 的关联引擎是非常有价值的。这些漏洞信息可以提供更加准确的漏洞关联信息和攻击监测。
WAF + RASP(即 Web 应用防火墙 + 实时应用自我保护):WAF 和 RASP 的作用是互补的。WAF 提供的信息可由 RASP 验证,从而帮助提供更精确的侦测信息,并预防攻击。
「大一统」:最后终有一天,以上提及的所有检测手段,甚至更多手段,都可以组合在一起供企业使用,实现「真·安全智能体系」。
3. 混合的应用程序安全测试
笔者认为,这里「混合」的意思是用一种结合自动和人工测试的方式「超越安全顾问们可以做到的极限」,以此实现更高的扩展性、更准确的可预测性和更高的成本效益。
DAST 和 SAST,两者都有自身的局限性。其中,两个主要的问题是误报率和业务逻辑测试。网络测试只需在一段已知的代码中发现已知的漏洞,然而和网络测试不同的是,应用程序测试面对的是未知代码。这使得漏洞侦测模式变得非常不同,更加难以实现自动化测试。所以,你只好从安全咨询人员或内部安全专家处获得最好的解决方案。然而,这种模式不具备可扩展性。比如,世界上有超过十亿个应用程序等待测试,在这种情况下,地球上并没有足够多的专家进行测试。
其实,这不是一个关于「人类 vs. 机器」的问题,而是关于「人类和机器」的问题。未来的趋势是自动化和人工验证的智慧结合。iViZ 是一个有趣的实例,他们使用的是自动化技术,同时结合了「自动化工作流程」进行人工检查,从而保证零误报率,且业务逻辑测试达到 100% 的WASC 类覆盖率。事实上,iViZ 收费固定,并且提供无限制的应用程序安全测试服务,而其边际利率高于市面上其他 SaaS 企业的平均水平。
4. 应用程序安全作为服务
笔者相信「服务化 -aaS」模型的理由很简单:我们之所以需要技术并不是为了技术,而是为了解决问题。换句话说,我们需要的是解决方案和服务。随着人们越来越注重「核心竞争力」,大家感到获取服务比购买产品更有意义,「帮你搞定」比「你自己动手」更有意义(当然,也会有些例外)。
现在我们有 SASTaas、DASTaaS 和 WAFaaS。几乎所有事情都可以服务化。事实上,Gartner 已经为「应用程序安全即服务」创建了单独的技术成熟度曲线。
应用程序安全作为服务有许多好处:降低固定运营成本,帮助专注于核心竞争力,解决人才获取和留存的问题,降低运营管理费用等更多的益处。
5. 安全产品开发生命周期(SDLC)之外:在安全线程上集成开发和运维
现在,是时候考虑安全产品开发生命周期以后的问题了。曾几何时,我们看到许多力量都在推动安全和软件开发生命周期的结合,笔者相信,这个行业已经取得了一些不错的进展。未来的趋势仍是这样,但是是从结合「安全 + 开发 + 运维」的角度去做。设计、开发、测试直到生产、管理、维护和运维,这一整条线索,应该无缝地与重中之重——即安全,密切结合。现今,开发与运维之间仍有一条「安全之路」要走,然而这条「路」将随安全生命周期的日趋集成化而渐渐模糊。
原文地址:http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想技术文章,请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客
应用安全技术趋势之 Top 5相关推荐
- 高德纳2019十大战略科技趋势 - Gartner Top 10 Strategic Technology Trends for 2019
来自Garnter发布<Top 10 Strategic Technology Trends for 2019>,本文仅翻译部分内容,有兴趣的同学可以自行阅读.翻译可能不准确,欢迎指正. ...
- Github开源趋势榜Top 1:英伟达升级发布二代StyleGAN,效果更完美
整理 | Jane 出品 | AI科技大本营(ID:rgznai100) 2018 年底,英伟达借鉴风格迁移的思路,提出当时最先进的无条件生成模型-- StyleGAN ,吸引了大家广泛关注.随后,代 ...
- Github 开源趋势榜 TOP 1:英伟达升级发布二代 StyleGAN!
整理 | Jane 出品 | AI科技大本营 2018 年底,英伟达借鉴风格迁移的思路,提出当时最先进的无条件生成模型-- StyleGAN ,吸引了大家广泛关注.随后,代码开源,一位 Uber 工程 ...
- 供应链安全、勒索攻击、AI赋能——2022网络安全技术呈何趋势?
中国信息安全.腾讯安全联合实验室及腾讯研究院共同发布<2022产业安全十大趋势>,在"产业安全宏观态势"."产业安全实践"."产业安全技术 ...
- 最新ui设计趋势_10个最新且有希望的UI设计趋势
最新ui设计趋势 重点 (Top highlight) Recently, I've spent some time observing the directions in which UI desi ...
- 李笑来登顶 GitHub TOP 榜!币圈大佬要教程序员如何自学编程
币圈红人李笑来,何许人也? --从英语老师.作家,到比特币首富.投资人,李笑来的身上有着众多广为人知的标签.因"录音门"事件让人哗然不已的他近来频频神隐,最近却又带着登顶 GitH ...
- 2020年房价趋势_2020年最大的设计趋势
2020年房价趋势 重点 (Top highlight) Design trends 2020 are an ideal mixture of the visual side of graphic d ...
- 2020年房价趋势_2020年的9种网页设计趋势
2020年房价趋势 重点 (Top highlight) Many design trends posts act like art directors - practically guiding y ...
- 2021年11月中国乘用车品牌出口量排行榜:MGZS出口量突破2万辆,Top前五中有3个品牌归属上海股份(附月榜TOP150详单)
榜单解读: 2021年11月,中国汽车工业协会统计的302个乘用车品牌累计出口170190辆,环比下降14.13%,同比增长71.23%,其中SUV出口量占比67.65%,轿车出口量占比30. ...
最新文章
- ios TableView编辑状态多选框的修改
- GDCM:gdcm::Fragment的测试程序
- Ubuntu中运行pip时报错
- SSH框架之SSH前言
- python字典统计_python字典计数
- 新手上路之django项目开发(一)-----创建项目并运行
- 在load事件中关闭窗体
- spark on yarn webUI logs不能查看
- css animation 触发,在JavaScript中触发CSS动画
- Python 爬取 6271 家死亡公司数据,一眼看尽十年创业公司消亡史!
- mysql性能测试工具之sysbench
- 大厂OPPO面试— Android 开发技术面总结
- addEventListener兼容性问题
- Matlab学习——求解微分方程(组)
- 互联网金融指导意见落地 行业发展开始步入正轨
- 获取网页视频,日常下载工具推荐——XDM
- 系统开发方法和开发模型
- 上传智能车竞赛比赛成绩
- 新浪微博API[赞]接口和[取消赞]接口
- 蓝奏云获取直API源码