关于数字化转型的惊人事实: 跳过安全检查
这是有关数字化转型带来的挑战的系列博客的第三篇。
跳过安全保护。
对于许多 IT 老手来说,当应用程序性能成为问题时,安全性往往是第一个被忽视的服务,这并不奇怪。 防火墙在遭受攻击时崩溃了? 把它关掉。 服务因突然的需求而超负荷吗? 把它们关掉。
二十年来,当应用程序性能出现问题时,我们就会系统地将安全性抛诸脑后。
因此,在管道性能方面,安全性常常被忽视,这并不奇怪。
十分之九的高管承认,由于数字化转型,他们感受到更快、更频繁地将应用程序推向市场的压力。
高管是否明确或隐含地将这种压力传达给负责人并不重要;当谈到以创纪录的时间推出应用程序时,开发人员和运营人员常常感到压力重重。
也许正因为如此,他们承认逃避了安检。 IBM/Arxan 对移动和物联网开发人员进行的一项调查显示,近一半(44%)的开发人员确实这么做了,而且其他行业的开发人员可能也会承认这一点。
毕竟,安全很难。 存在大量的攻击面 —— 并且没有一层是未受影响的。 从网络到平台再到应用,渗透应用程序和泄露数据的方法比网络的层数还要多。
但如果我们看看最近发生的最严重违规行为,我们就会发现一种模式,它或许可以帮助每个人把有限的时间集中在最大的风险上。
我们都听说过 Equifax 数据泄露事件。 我们知道这些肮脏的细节,和许多其他组织一样,他们被一个通过网络平台针对未修补的第三方框架执行的已发布漏洞所困扰。 有可能发现,但尚未得到证实,是通过机器人/自动脚本搜索可能的目标实现的。 可能是因为目前绝大多数机器人活动不是攻击流量,而是探测侦察任务。
事实证明,已经很久没有人通过 SSH 或网络漏洞进行入侵了。 当今的攻击者追逐的是应用程序和凭证,他们使用机器人来寻找有利可图的漏洞并实施攻击。
您需要保护应用程序防范的三大安全风险是:
- OWASP 前十名。 SQLi、XSS、命令注入、No-SQLi 注入、路径遍历和可预测资源
- CVE。 Apache、Apache Struts、Bash、Elasticsearch、IIS、JBoss、JSP、Java、Joomla、MySQL、Node.js、PHP、PHPMyAdmin、Perl、Ruby On Rails 和 WordPress。
- 机器人。 漏洞扫描器、网络爬虫、DDoS 工具和论坛垃圾邮件工具。
这是安全平台和策略的标准化与每个应用程序架构相结合的地方,以有效地提供一种在风险成为现实威胁之前进行补救的方法。 平台的标准化意味着策略的标准化。 通过这种组合,安全专家可以创建一个标准的基本安全策略,然后可以自动部署到每个应用程序,立即保护其免受最新威胁。 因为它是针对每个应用程序的,所以可以添加特定于应用程序的保护以提供额外的保护,但至少你会更有信心知道最可能的攻击媒介已经被覆盖。
每个应用程序架构的另一个好处是,应用程序通常不受 WAF 之类的保护(是的,我知道,为什么会这样? 但请相信我,只要有必要,就可以通过在应用程序管道中注入具有适当策略的新实例来在短期内对其进行保护。 因此,当 CVE 发布时(而且一定会发布),安全专家可以立即实施缓解策略,并将其注入到每个易受攻击的应用的路径中,以防止其被利用。
对于开发人员因数字化转型的压力而忽略安全性的问题,解决办法是标准化。 在通用应用安全平台上进行标准化,这样您就可以利用其标准化策略的能力并像专业人士一样将它们推送到管道中。
请继续关注本系列的下一篇文章,我们将深入探讨如何应对数字化转型趋势导致的应用程序数量超过运营数量而产生的规模不经济问题。