博客

应用程序安全不是的三件事

Lori MacVittie 缩略图
洛里·麦克维蒂
2017 年 6 月 20 日发布

应用程序安全涉及很多方面,但有时我们需要停下来思考它不是什么,特别是当为满足不断增长的需求而开发和部署的应用的数量和频率不断增加时。

1. 这不是高优先级——但应该是

在由 Arxan 和 IBM 赞助的一项关于物联网和移动应用安全性的调查中,高达 44% 的受访者承认他们没有采取任何措施来防止攻击。 为了避免您认为上述回应仅与您的应用程序组合的一小部分有关,让我们来看一下WhiteHat Security关于Web 安全统计的开创性年度报告,该报告发现“大约三分之一的保险应用、大约 40% 的银行和金融服务应用、大约一半的医疗保健和零售应用,以及超过一半的制造业、食品饮料和 IT应用始终存在漏洞。”

白帽安全术语中的“始终脆弱”定义为“一年中的每一天都脆弱”。 

此外,同一报告还发现“不同行业的平均修复时间约为 100 天到 245 天。” 对于零售和医疗保健而言,大约需要 200 天。 技术和 IT 进一步落后,修复一个漏洞平均需要 250 天。

正是这种对安全问题的自由放任的态度,使得后者变得如此难以接受。 如果应用程序安全性不是优先级最高的,那么可以肯定的是,相当大比例的应用(或向应用提供数据的 API)都存在漏洞。

2. 不只是应用程序

有一种误解,认为应用程序安全仅与应用有关。 如果应用程序是一个独立实体,也许确实如此。 但是应用程序部署在平台上,依赖于第三方脚本和 API,并与负责管理数据的系统集成。 这意味着应用程序安全是一个堆栈 这需要仔细关注所有组件,而不仅仅是应用程序本身。 OWASP Top Ten 是应用程序的一个良好起点,但我们不要忽视平台中的协议级(TCP、HTTP 和 TLS)漏洞在过去十年中一直是造成问题的重要根源。

我们不要忽视体积网络攻击与更阴险的系统和应用层攻击之间的关系。 Dark Reading 在最近的一篇文章中指出了这种相关性:

近一半受影响的组织表示,他们的 DDoS 攻击与其网络上某种形式的入侵或恶意活动同时发生,包括数据盗窃和勒索软件。 例如,47% 的人报告称在遭受 DDoS 攻击后发现其网络上有病毒活动,43% 的人报告称恶意软件被激活,32% 的人报告称客户数据被盗。

应用程序安全需要关注整个应用程序架构,其中包括网络、数据以及可扩展和保护该应用程序的服务。

3. 不是别人的问题 

soad-security-cloud-adoption-2017

根据我们 2017 年应用交付状况调查,五分之一的组织计划将超过 50% 的应用托管在云中,因此应用程序的安全变得更具挑战性。 将应用程序运送到“云端”可能会重新分配部分安全负担的责任,特别是网络和系统级组件的责任。 但应用程序及其平台以及应用程序所依赖的外部脚本和资源仍然是您的责任。 确保云中的安全级别与本地相同可能具有挑战性,特别是在混合和匹配策略级别不兼容的原生云服务与本地服务时。

但这是一个需要应对的挑战,要么通过确保在本地和云中执行这些策略的服务的一致性,要么通过将应用程序安全职责转移到可以同时为两者提供一致性的基于服务的产品,或者通过精心制定用于云原生服务的等效策略。

无论您选择什么路线,责任仍在您手中。

违规行为对品牌声誉、消费者信任的影响以及未来被利用的可能性(在凭证被盗的情况下)使得应用程序安全比以往任何时候都更加重要。 将其拖到最后一刻或期望别人会处理此事只会酿成灾难。 认识到其重要性并优先考虑测试和补救,同时利用云和云支持服务所提供的架构选项,将大大降低您的风险。

应用程序安全不是可选的。