利用 Threat Stackapplication安全监控实现有效延伸

在我们的上一篇文章中，我们探讨了 Threat Stack 的应用安全监控如何将安全性嵌入到开发过程中，而不会对应用开发和部署的灵活性或速度产生负面影响。 让开发人员能够主动解决软件风险，对于“向左延伸”以将安全性融入整个软件开发和部署生命周期的组织来说至关重要。 但即使拥有最好的安全意识、测试以及早期问题识别和缓解措施，某些风险仍可能潜入正在运行的应用中。 

最近的一份报告发现，经过测试的 100％ 的网络应用都存在至少一个应用漏洞。 它们可能并非都是最严重的漏洞，也可能永远不会被攻击者成功利用，但它们始终潜伏在那里。 有了这些知识，攻击者就会不断探测 Web应用，寻找能够让他们获得实施攻击所需访问权限的弱点。 除了 Threat Stack AppSec Monitoring 提供的开发时风险识别和补救指导之外，它还可以在运行时检测和阻止这些实时攻击。 

Threat Stack AppSec Monitoring 提供包含四个元素的运行时保护： 检测、阻止、通知和引导。 结合起来，这四个元素使用户能够发现攻击、阻止攻击（防止数据泄露和其他问题），并为 DevSecOps 工作流提供开发人员所需的上下文，以便构建有助于防止未来攻击的安全性。

探测

超过 60% 的顶级网络攻击都集中在基本的 XSS 和 SQL 注入攻击上。 尽管这些攻击相对简单且易于理解，但它们仍然受到攻击者的青睐。 Threat Stack AppSec Monitoring 可以通过检查从网络进入应用的有效负载来检测这些攻击。 有效负载只是应用请求的数据部分 - 它可以是网页表单提交中的字段名称和值，也可以是 API 调用中的名称/值对。 我们从正在运行的应用中分析有效负载，以检查它是否包含我们可以识别为潜在恶意的代码。 此项检查基于我们自己的分析器将有效载荷与众所周知的攻击特征进行比较 - 目前超过 2,000 个！ 可以将其想象成机场内的安全检查站，警卫会检查旅客行李的内容，以搜寻枪支或爆炸物等潜在危险物品。 我们在有效负载内部寻找潜在的危险项目，例如 SQL 或 noSQL 注入字符串或 XSS 代码。 然而，与机场安检不同，我们的检查速度极快！

堵塞

用户可以通过以下两种模式之一运行 Threat Stack AppSec 监控： 仅检测或自我保护。 自我保护模式是实时防御的最佳选择。 在这种模式下，任何带有恶意负载的请求都会被立即停止——就像机场安检人员发现武器并拒绝进入机场一样。 该应用暂停该单个请求的进一步执行，攻击终止。 在仅检测模式下，任何识别出的恶意负载都会被标记并传达给用户（参见下一个元素“通知” ），但允许执行请求。 当您在开发过程中运行自动化测试时，这可能会有所帮助，因为了解模拟攻击是否被成功检测到很有帮助，但您仍希望让测试继续进行。

通知

一旦检测到并阻止攻击，您需要意识到这一点，以便采取措施减轻损害或降低未来攻击的风险。 Threat Stack AppSec Monitoring 以清晰的时间线格式提供有关 Web 门户中攻击的信息。 但我们知道并非每个团队的每个成员都会登录 Threat Stack 门户，因此我们通过 ChatOps 集成向您提供有关攻击的重要信息，从而允许 Slack、Google 或其他聊天工具向团队传递信息。 攻击通知包括实际的恶意负载内容、攻击者的 IP 地址、目标 URL 和请求方法以及其他必要信息。