application保护的现在和未来
在当今以应用程序为中心的世界里,确实一切事物都有应用程序。 组织向员工和消费者提供具有数据访问权限的应用,以提高生产力,满足业务需求,并最终获得竞争优势。 但随着组织通过应用传递越来越多的敏感数据,它们也带来了越来越大的风险。 这是因为当今的用户无处不在(通常在企业网络之外),并且他们所依赖的应用程序可以位于任何地方,从私有数据中心到公共云。 其结果是组织的可见性和控制力降低。 毫不奇怪,网络犯罪分子会利用这种风险,攻击这些应用,而这些应用程序基本上不在防火墙、防病毒软件和 TLS/SSL 加密等传统安全保护范围之内。
无论是容量限制拒绝服务 (DoS) 攻击、基于浏览器的恶意软件还是高级持续性威胁,当今的应用攻击实际上都是获取或泄露公司数据的策略。 随着越来越多的数据是加密流量,当今大多数安全工具都是盲目运行的,无法解密这些数据以确保其不是恶意的。
传统上,应用安全方法一直侧重于软件开发生命周期 (SDLC),试图确保开发人员遵循安全编码的最佳实践。 虽然安全代码仍然是整个安全难题的核心部分,但它并不是全部。 随着越来越多的端点和网络超出传统企业网络覆盖范围,旧的安全边界不断消失,而应用和敏感企业数据面临的风险也在不断演变。
必须加强安全措施,确保应用程序在任何地方都是安全的。 当今绝大多数攻击都针对应用级别,但企业并没有在该级别进行相应的安全投资。 现在是组织机构接受新现实的时候了: 安全性需要更加注重应用程序层面。
从这种基于风险的角度看待应用安全性,使组织能够专注于组件故障,并有助于为大多数攻击的最终目标数据提供最强大的安全性。 通过分析组成应用的所有组件,组织可以制定策略,为整个应用程序提供最强大、最合适的安全性。 因为破坏应用程序的一个组件或运行该组件的网络(无论是代码漏洞、网络可用性还是 DNS)都会危及整个应用及其所存储的数据。
对于组织来说,部署最强大的应用安全控制集至关重要,以降低敏感数据被应用程序级攻击泄露的风险。 应用边界主动、纵深防御安全态势的关键组成部分包括应用安全测试、防火墙服务、访问控制以及针对各种威胁的特定防护。
软件安全仍然是整体应用保护策略的基石。 组织必须确保新网站和软件的安全编码,但他们还必须解决在没有安全软件开发生命周期的情况下构建的现有网站中已经存在的无数漏洞。 重要的是要记住,查找和修复漏洞并不是一项学术活动;它的全部目的是让有意识的攻击者远离企业系统并远离这些系统保护的数据。 但如果不清楚地了解对手及其策略,安全专家将很难制定有效的策略来击败他们。 展望未来,必须让更多在安全社区工作的人们更好地了解软件和软件安全。
漏洞扫描程序有助于识别和缓解软件问题,无论是在新网站和网络应用上线之前还是之后发现的。 然而,通过将强大的漏洞扫描程序与完整的代理 Web应用防火墙相结合,组织可以获得最佳保护。
如今,强大而灵活的 Web应用防火墙不再是奢侈品,而是必需品。 云托管网络应用的增长伴随着日益复杂的安全攻击和威胁企业数据的风险。
混合 Web应用防火墙可以帮助企业防御 OWASP 十大威胁、应用漏洞和零日攻击 — 无论应用位于何处。 强大的第 7 层分布式拒绝服务 (DDoS) 防御、检测和缓解技术、虚拟修补和细粒度的攻击可见性可以在最复杂的威胁到达网络服务器之前阻止它们。 此外,能够在攻击者访问企业数据中心之前检测并阻止他们,这是一项巨大的优势。 强大的 Web应用防火墙可以在潜在攻击的最早阶段阻止恶意活动,从而使组织能够显著降低风险,并通过消除处理不必要流量所花费的资源来提高数据中心的效率。
企业应该寻找具有以下特征的 Web应用防火墙:
- 提供针对自动攻击网络的主动防御。
- 与领先的动态应用安全测试 (DAST) 扫描器集成,可立即修补漏洞。
- 通过将恶意活动与违规行为关联起来来识别可疑事件。
- 提供易于阅读的报告,帮助简化对支付卡行业数据安全标准 (PCI DSS)、HIPAA 和 Sarbanes-Oxley 等主要监管标准的遵守。
如今,SSL 已无处不在。 分析师预测,加密流量占北美所有在线流量的比例将从 2015 年的 29% 跃升至 2016 年的近 64%。1 各组织都在争先恐后地对大部分流量进行加密,包括从电子邮件、社交媒体到流媒体视频的所有内容。 SSL 提供的安全级别很诱人,但与此同时,它也成为一个漏洞载体,因为攻击者使用 SSL 来隐藏恶意软件,使之不被无法看到加密流量的安全设备发现。
企业安全解决方案必须了解这些加密流量,以确保它不会将恶意软件带入网络。 对抗这些加密威胁的一种方法是部署 SSL“气隙”解决方案,即在可见性链的两侧放置application交付控制器 (ADC)。 最靠近用户的 ADC 解密出站流量并通过安全设备发送解密的通信。 这些设备现在可以看到内容、应用策略和控制、检测和消除恶意软件。 在链的另一端,另一个 ADC 在流量离开数据中心时对其进行重新加密。 该解决方案提供了灵活性,可保持一致的安全设备,同时确保它们能够完成其设计的任务。
如今,大多数应用程序都是基于互联网的,因此容量大 DDoS 攻击可能会破坏甚至摧毁应用。 DDoS 攻击的规模和复杂性不断增加,威胁着全球企业的内部资源。 这些攻击将大容量流量阻塞与隐秘的、针对应用程序的技术相结合,其目的都是为了破坏合法用户的服务。
组织必须确保他们拥有强大的 DDoS 保护策略来确保其关键应用的可用性。 考虑提供全面、多层 L3 到 L7 保护的解决方案,并可以在 DDoS 攻击到达网络和数据中心之前阻止云中的 DDoS 攻击。
虽然企业的 DNS 策略不属于传统的应用安全安全编码视图,但它在其应用的安全性和可用性方面发挥着巨大的作用。 DNS 是互联网的支柱,也是组织网络中最脆弱的点之一。 组织必须防范日益增多的 DNS 攻击,包括 DNS 放大查询洪水、字典攻击和 DNS 中毒。
企业可以确保客户和员工能够在需要时随时访问关键的 Web、应用和数据库服务,而解决方案可以智能地管理全球流量,通过阻止对恶意 IP 域的访问来缓解复杂威胁,并与第三方供应商无缝集成以实施、集中管理和安全处理 DNSSEC 密钥。 一些解决方案提供高性能 DNS,可以快速扩展以更好地吸收 DDoS 攻击。
五十年前,如果你想抢劫银行,你就必须亲自去银行。 现在,你可以从 5,000 英里外抢劫一家银行。 互联网的全球性意味着一切对于对手来说都是等距的,而金融机构是互联网上价值最高的目标之一。 为了有效地打击欺诈风险,通过互联网提供金融服务的组织必须采用多种安全技术来保护其业务。
考虑一种有助于防御各种欺诈威胁载体的解决方案,防止攻击者欺骗、禁用或以其他方式绕过安全检查。 组织可以借此降低财务和知识产权损失的风险,并通过主动防御来防范新出现的网络威胁和欺诈,从而感到安全。
一些最新的、最具破坏性的安全漏洞都是由于用户和管理员凭证被泄露而造成的。 通过对正确的人员进行身份验证并授权其获取正确的信息,以及使用单点登录和多因素身份验证技术确保与应用的安全连接,可以阻止这些违规行为。 此外,企业集中的身份和访问控制可以在企业网络与基于云或软件即服务(SaaS)的应用之间提供安全的身份验证。
应用保护充满了复杂性,随着物联网及其相关应用的迅猛增长,问题也日益增多。 2010 年,网络应用程序数量为 2 亿个;而如今,该数字已接近 10 亿个。2 到 2020 年,这个数字很容易就达到 50 亿。 所有这些应用都是漏洞载体,其中许多应用程序包含可能成为攻击者目标的关键数据。
通过以应用级为重点的解决方案和服务增强现有的安全产品组合,组织可以更好地保护可能暴露其敏感数据的应用。 确保应用无论位于何处都受到保护至关重要,而且风险很高。
现在是时候拓宽应用安全的视野了,以便组织能够更好地有效地保护构成其关键应用程序的所有组件、保护其数据并保护其业务。
