【编者按】关于安全防护的问题,我们将有两期系列内容,这是安全系列的第一期内容,如阅读第二期内容,请关注后期推送。
开发团队在互联网应用的安全方面扮演着至关重要的角色。虽然不良因素是开发团队遇到的最重要的威胁,但他们也面临着重大内部挑战,即在平衡业务、工程和安全利益的同时,实施安全修复。这里提出了五大安全问题,可以提高对应用安全需求的认识,降低网络应用安全事件给企业带来的业务风险。
1. 如何识别和修复应用程序代码中的漏洞?
动态和静态应用安全测试工具有助于发现网络应用中的漏洞。DAST和SAST工具分别以不同的工作方式帮助寻找运行时的弱点:DAST试图对网络应用程序进行攻击(如跨站脚本),而SAST工具则寻找源代码中的不安全操作(如未初始化的变量)。在持续集成/持续部署(CI/CD)管道中使用这两种工具,有助于在软件开发过程中发现缺陷,然后再进入生产模式。
一些源码控制存储库可以与CI实践集成,在每次更改时运行安全扫描。存储库可能要求CI实践执行SAST,并作为每个变更请求的一部分。如果扫描报告发现安全问题,存储库可能会阻止变更请求的批准。手动或自动执行这些扫描的团队可以大大减少他们的安全风险。同样地,CD可以在部署新代码时运行DAST扫描。
扫描可能产生许多结果。即使在漏洞管理系统的帮助下,也需要时间来评估和确定它们的优先次序。网络应用程序防火墙(WAF)使您能够在团队确定漏洞优先级并对修复应用功能时立即采取行动。
此外,对受WAF保护的网络应用程序运行DAST扫描,可以进一步改善该程序的整体安全态势。WAF未能阻止的任何攻击都将被安全团队识别出来,以便进一步进行微调。如果WAF包含的规则不能缓解DAST扫描发现的威胁,还可以编写和部署一个自定义的WAF规则来处理特定的威胁。开发团队不再需要等待安全补丁或即将发生的攻击来减轻这些威胁。
2. 如何识别和修复技术堆栈中的漏洞?
现代网络应用技术堆栈由许多组件组成,如前端框架、网络和数据库服务器以及网络开发框架。其中一些组件可通过插件、扩展和附加组件进行扩展。每个应用安全程序都应该包括第三方组件的清单以及理解和应用关键安全补丁。然而,关键的补丁有时并不能在不改变应用程序代码的情况下应用,需要进行开发冲刺。
软件补丁为企业提供了更多的时间来修复已知的安全漏洞。网络应用团队应定期测试和应用软件补丁(如每月或每当有软件发布时)。这样做可以减少漏洞存在的时间,并减少攻击者利用它的时间。缺陷存在的时间越长,恶意攻击者利用它们的可能性就越大。
WAF使开发团队能够立即进行修复以防止攻击,同时为修补和更新应用程序代码提供喘息的机会。
虽然在分级环境或QA环境中运行WAF可以深入了解特定的WAF配置是否能防止攻击,但不能替代针对实际生产网络流量运行WAF。了解我们的双WAF模式功能,如何使安全团队在生产流量上测试新的WAF配置文件,阻止新出现的威胁,并将响应时间缩减到86%。
3. 应用程序更新/退役过程是怎样执行的?
基于旧技术堆栈上的应用程序应该被更新或退役。如果技术堆栈没有得到维护,许多公司就不能再修复旧的应用程序代码。平衡安全与业务的需求,可能需要一个临时解决方案。运行一个全面的DAST扫描和一个精心调整的WAF,并在需要时使用适当的自定义规则,使您能够安全地运行Web应用程序,直到它们被升级或退役。
4. 安全事件对服务器容量的影响是什么?
平衡服务器容量和云计算成本是客户体验和业务需求之间的一个权衡。然而,分配服务器容量来容纳非法用户并不是最好的方法。
尽管仍然存在大规模DDoS攻击的威胁,但在1 Gbps范围内的攻击更为常见。这些高要求的安全事件,以及使用您的网络应用程序的自动扫描或爬虫,可能不会成为新闻,但会影响您的客户在您的网站上的体验。
利用基于云的WAF可以将这些不良流量在影响您的网络应用之前过滤掉它们,为实际用户保留服务器容量。
5. 有哪些需要遵守的合规要求?
根据您的行业和应用类型,您的应用可能需要符合行业法规。如果您的网站处理信用卡支付,那么它可能必须符合PCI标准。因为您的应用程序使用和保留的数据具有敏感性,您的公司可能需要符合SOC 2类型。许多这些行业法规都需要使用WAF。即使没有适用的行业法规,您可能要考虑遵循行业的最佳实践和准则。您可以使用互联网安全控制中心或AWS的Well-Architected Framework。这两者都建议使用WAF,因为它可以检查和过滤恶意的网络流量。其他更多问题:保护您的网络应用是一项重要的任务,需要平衡安全、工程和商业利益。有时,这些利益会发生冲突,使开发人员很难采取行动。、
开发团队对威胁进行优先排序,并将修复措施执行到您的CI/CD管道时,WAF可以帮助缩小这一差距。我们强大的、具有成本效益的WAF洞察力降低了采用WAF的门槛。
请联系我们,以获得关于加强网络安全和我们的WAF洞察力的所有问题的答案。
Edgio(NASDAQ:EGIO)是全球领先的边缘软件解决方案提供商,通过对内容交付、应用和流媒体平台的无缝集成,提供无与伦比的安全数字体验。我们全球规模的技术和专家服务为全球顶级品牌赋能,覆盖教育、娱乐、现场实况及各种应用,为每一位用户提供最迅捷、最动态和最流畅的数字体验。Edgio致力于提供无与伦比的客户服务,并在每一步都扩展价值,Edgio是首选的合作伙伴,驱动了全球约20%的互联网流量,为最受欢迎的节目、电影、体育、游戏、音乐以及即时加载网站提供强大的支持服务。
Edgio 诚邀您访问
标签:必问,网络应用,WAF,扫描,DAST,安全,开发者,应用 From: https://www.cnblogs.com/Limelight/p/16647836.html