解决方案概述

application安全漏洞缓解

如今,应用程序可以实现数字化转型并提供竞争优势。 因此,现在是时候简化安全措施并转变观点了。

application安全解决方案

欢迎来到application时代

为了在加快产品上市速度的同时保持敏捷性,企业采用了敏捷开发并委托 AppDev 和 DevOps 团队来实现战略业务需求。 开发人员只需单击按钮,就可以自动构建、测试、部署、运行和监控可能改变世界的新代码。

主要优势

左移

安全性本质上融入了应用开发生命周期——从代码到测试再到生产——无论架构、云或框架如何。

最大化可用性

F5 解决方案以最少的摩擦和误报防止妥协 - 将安全成本中心转变为业务差异化因素。

降低复杂性

F5 简化了跨云和跨架构的安全性,实现了一致的策略实施和普遍的补救。

但是application安全性又如何呢?

应用开发已发生转变并基本实现了自动化,但安全性仍然需要高度的手动操作。 开发人员和 DevOps 从业人员的数量与安全专业人员的数量之比高达 100 比 1。 上市时间的压力导致了应用和安全团队之间的摩擦,让人觉得安全是一个瓶颈。 这是一个严重的困境,常常导致测试不佳、流程捷径以及监督无效。

与此同时,架构、云和第三方集成的激增大大增加了许多组织面临的威胁面。 跨站点脚本 (XSS) 和注入等应用漏洞自 20 多年前应用安全诞生以来就一直普遍存在,但攻击者仍以惊人的速度发现和利用它们。 攻击者利用自动化框架和人工智能增强工具扫描互联网,迅速将漏洞武器化,发现并利用弱点获取金钱利益。 开源软件尤其容易受到漏洞的困扰——带来未知的重大风险。

F5 实验室报告称,每 9 小时就会发布一次可能导致远程代码执行的严重漏洞,这是最严重的攻击之一。 到 2025 年,预计在 2025 年的一个典型星期内将发布 500 个新的 CVE。

为了有效管理跨架构、云和开发人员框架的应用安全日益增加的复杂性,组织需要转变其策略并转变其视角。

开放 Webapplication安全项目

开放式 Web应用安全项目(OWASP) 成立于 2001 年,旨在使企业高管和公司董事会认识到有效漏洞管理的必要性。 通过严谨的方法,包括安全供应商和社区反馈,产生了OWASP Top 10——最普遍和最严重的应用漏洞列表。

自 OWASP 成立以来,XSS 和注入就一直出现在每个 OWASP 十大漏洞列表中,但应用安全的新时代标志着软件供应链面临的威胁日益增加、开源软件的普及以及管理传统和现代应用程序的安全性和访问的操作复杂性。 软件更新、关键数据和 CI/CD 管道完整性都可能受到损害。 虽然开源软件大大加快了开发速度,但它也改变了风险管理,因为内部开发的定制软件中常见的控制,例如静态代码分析(SCA),在第三方软件中并不总是可行或实用。

2021 年,在漏洞详细信息公布后,攻击者几乎立即开始利用广泛部署的开源软件库中的一个严重漏洞,该软件库被数千个网站和应用使用。 如果不加以解决,该漏洞可能导致远程代码执行,从而使攻击者可以接管网站和在线应用、窃取资金、泄露数据并危及客户账户。

F5 实验室详细介绍了过去二十年 CVE 格局的巨大变化,漏洞的数量和种类不断增加。 虽然其中一些变化是由于技术的发展,但其他变化则是数据收集方式的体现。

主要特点

发现面向公众的 Web 应用程序和 API 的已知风险,并通过 AI 增强洞察力识别测试中的漏洞以帮助补救。

  • 应用程序开发框架中的本机集成缩短了上市时间和业务敏捷性
  • 针对各种漏洞的现成保护可降低风险和操作复杂性
  • 跨云和架构的可视性和实施可确保整个企业应用程序组合的安全
  • 自学习和自调整策略减轻了 InfoSec、DevOps 和 AppDev 团队的负担
  • 动态情报源可快速补救新出现的威胁
  • 声明性策略抽象底层基础设施,以防止意外风险和错误配置
  • 对不断变化的应用程序和攻击者做出反应的安全性可最大限度地提高效率并优化客户体验
  • 自动保护和自适应安全使企业能够安全地加速数字化转型
  • 安全功能按需部署,从应用程序到边缘实现一致保护

建筑扩张和人工智能的兴起

技术的快速发展正在改变组织开展业务的方式以及他们为确保业务安全所必须采取的措施。 如今, 88% 的组织采用混合模式运营,包括 SaaS、公共云/IaaS、本地(传统)、本地(私有云)、主机托管、边缘——这些组织越来越多地利用人工智能来减轻手动调整的压力,并根据检测到的威胁自动构建安全策略。 虽然绿地项目可以利用云的效率,但大多数企业组合都包括涵盖数据中心、云和微服务内各种架构的传统和现代应用程序。

应用的爆炸式增长和上市速度也推动了风险管理的根本性变革。 网络工程师可能没有部署基础设施。 DevOps 团队可以使用交钥匙云解决方案中的容器等新兴架构轻松创建虚拟和临时基础设施,从而实现从代码构建到服务部署的所有流程的自动化。 应用开发周期中角色、职责和工作方式的变化通常会忽视安全性。

与此同时,攻击者的方法也越来越高效,利用现成的工具和框架来扩大攻击规模,本质上采用的是安全专业人员量化和评估风险的相同方法。

此外,越来越多的企业采用多家云提供商来确保业务连续性。 此外,为了满足跨多个云环境的特定需求,企业越来越多地遭遇工具泛滥的情况。 这常常使那些负责安全的人员对什么是安全的、什么是不安全的感到困惑,而这些细微差别可能会导致漏洞 - 通常是安全配置错误(例如,参见 AWS 共享责任模型)。

缓解应用程序漏洞市场结构图

图 1: CI/CD 管道自动化可以缩短产品上市时间,同时降低风险并产生更好的业务成果

需要向左移动并改变视角

风险正在因应用的构建和部署方式而发生变化。 因此,安全性需要转变,以保持领先于应用漏洞的趋势。 可见性和一致性一如既往地重要,但组织需要在应用安全性实施方式上进行范式转变。 应用程序安全性需要从本质上集成到应用应用开发生命周期中,无论架构、云或框架如何 - 从代码到测试再到生产,而不是在应用程序启动后构建安全策略,审查误报以稳定和调整策略,然后监控可能对应用程序造成风险的新发布的漏洞。

渗透测试可以在软件投入生产之前发现关键风险,并通过向安全团队提供关键见解来大幅缩短缓解时间曲线,然后安全团队可以实施关键的权宜之计,例如 Web应用防火墙策略。

最有效的应用安全性是自动化、集成化和自适应的。 自动化可以降低运营支出(OpEx)并减少应用发布、部署和维护期间关键安全资源的压力。 自动化策略部署可以在软件开发生命周期 (SDLC) 的早期阶段实施和稳定安全控制,从而提高效率,减少人工干预,提高效率,使 InfoSec 摆脱大量警报和潜在的误报,从而专注于更具战略性的风险管理工作。 与应用开发框架和持续集成/持续交付 (CI/CD) 管道的本机集成减少了开发和安全团队之间的摩擦,从而提高了业务敏捷性和组织协调性。

通过 API 驱动的部署和维护集成到开发人员工具中,通过抽象基础设施复杂性、降低运营开销和防止配置错误,简化了跨多个架构和云的策略管理和变更控制。

此外,安全缓解措施应该准确且具有弹性,以避免令客户感到沮丧或允许攻击者升级其活动以逃避检测。 消费者要求个性化、精心策划的体验,而老练的攻击者不会轻易被阻止。

有效的安全性且不影响可用性,可以成为在竞争激烈的数字经济中赢得和留住客户的关键因素。 

结论

如今,应用程序就是业务,这使得对应用程序的威胁和无效的安全性成为业务潜力的最大风险。 现代的、分散的应用架构扩大了威胁面,自动化增加了意外风险和攻击者的有效性,网络犯罪的后果持续增长,但始终如一地提供安全数字体验的组织将实现客户和收入的增长。

解决方案很明确。 不要推迟发布可能改变世界的新代码,而是将安全性转移到整个应用生命周期内自动化保护,并将安全性视角转变为关键的业务差异化因素。

通过主动缓解漏洞、降低复杂性并以有效且易于操作的安全措施保护业务,您可以加速数字化转型并优化客户体验,从而降低风险并创造数字竞争优势。