(圖片來(lái)源:圖蟲(chóng)創(chuàng)意)
【編者按】關(guān)于安全防護(hù)的問(wèn)題����,我們將有兩期系列內(nèi)容,這是安全系列的第一期內(nèi)容����,如閱讀第二期內(nèi)容,請(qǐng)關(guān)注后期推送�����。
開(kāi)發(fā)團(tuán)隊(duì)在互聯(lián)網(wǎng)應(yīng)用的安全方面扮演著至關(guān)重要的角色���。雖然不良因素是開(kāi)發(fā)團(tuán)隊(duì)遇到的最重要的威脅����,但他們也面臨著重大內(nèi)部挑戰(zhàn)�����,即在平衡業(yè)務(wù)�����、工程和安全利益的同時(shí)�,實(shí)施安全修復(fù)。
這里提出了五大安全問(wèn)題���,賣(mài)家可以提高對(duì)應(yīng)用安全需求的認(rèn)識(shí)��,降低網(wǎng)絡(luò)應(yīng)用安全事件給企業(yè)帶來(lái)的業(yè)務(wù)風(fēng)險(xiǎn)�。
一、如何識(shí)別和修復(fù)應(yīng)用程序代碼中的漏洞���?
動(dòng)態(tài)和靜態(tài)應(yīng)用安全測(cè)試工具有助于發(fā)現(xiàn)網(wǎng)絡(luò)應(yīng)用中的漏洞��。DAST和SAST工具分別以不同的工作方式幫助尋找運(yùn)行時(shí)的弱點(diǎn):DAST試圖對(duì)網(wǎng)絡(luò)應(yīng)用程序進(jìn)行攻擊(如跨站腳本)�����,而SAST工具則尋找源代碼中的不安全操作(如未初始化的變量)。在持續(xù)集成/持續(xù)部署(CI/CD)管道中使用這兩種工具�����,有助于在軟件開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)缺陷�,然后再進(jìn)入生產(chǎn)模式。
一些源碼控制存儲(chǔ)庫(kù)可以與CI實(shí)踐集成�����,在每次更改時(shí)運(yùn)行安全掃描���。存儲(chǔ)庫(kù)可能要求CI實(shí)踐執(zhí)行SAST����,并作為每個(gè)變更請(qǐng)求的一部分。如果掃描報(bào)告發(fā)現(xiàn)安全問(wèn)題�����,存儲(chǔ)庫(kù)可能會(huì)阻止變更請(qǐng)求的批準(zhǔn)���。手動(dòng)或自動(dòng)執(zhí)行這些掃描的團(tuán)隊(duì)可以大大減少他們的安全風(fēng)險(xiǎn)���。同樣地,CD可以在部署新代碼時(shí)運(yùn)行DAST掃描��。
掃描可能產(chǎn)生許多結(jié)果�。即使在漏洞管理系統(tǒng)的幫助下,也需要時(shí)間來(lái)評(píng)估和確定它們的優(yōu)先次序�����。網(wǎng)絡(luò)應(yīng)用程序防火墻(WAF)使您能夠在團(tuán)隊(duì)確定漏洞優(yōu)先級(jí)并對(duì)修復(fù)應(yīng)用功能時(shí)立即采取行動(dòng)�。
此外,對(duì)受WAF保護(hù)的網(wǎng)絡(luò)應(yīng)用程序運(yùn)行DAST掃描,可以進(jìn)一步改善該程序的整體安全態(tài)勢(shì)��。WAF未能阻止的任何攻擊都將被安全團(tuán)隊(duì)識(shí)別出來(lái)��,以便進(jìn)一步進(jìn)行微調(diào)��。如果WAF包含的規(guī)則不能緩解DAST掃描發(fā)現(xiàn)的威脅��,還可以編寫(xiě)和部署一個(gè)自定義的WAF規(guī)則來(lái)處理特定的威脅�����。開(kāi)發(fā)團(tuán)隊(duì)不再需要等待安全補(bǔ)丁或即將發(fā)生的攻擊來(lái)減輕這些威脅�����。
(圖片來(lái)源:Edgio)
>>現(xiàn)在預(yù)約1:1專(zhuān)家診斷
二����、如何識(shí)別和修復(fù)技術(shù)堆棧中的漏洞�����?
現(xiàn)代網(wǎng)絡(luò)應(yīng)用技術(shù)堆棧由許多組件組成����,如前端框架�����、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)服務(wù)器以及網(wǎng)絡(luò)開(kāi)發(fā)框架�。其中一些組件可通過(guò)插件�����、擴(kuò)展和附加組件進(jìn)行擴(kuò)展��。每個(gè)應(yīng)用安全程序都應(yīng)該包括第三方組件的清單以及理解和應(yīng)用關(guān)鍵安全補(bǔ)丁��。然而���,關(guān)鍵的補(bǔ)丁有時(shí)并不能在不改變應(yīng)用程序代碼的情況下應(yīng)用�����,需要進(jìn)行開(kāi)發(fā)沖刺����。
軟件補(bǔ)丁為企業(yè)提供了更多的時(shí)間來(lái)修復(fù)已知的安全漏洞���。網(wǎng)絡(luò)應(yīng)用團(tuán)隊(duì)?wèi)?yīng)定期測(cè)試和應(yīng)用軟件補(bǔ)?。ㄈ缑吭禄蛎慨?dāng)有軟件發(fā)布時(shí))。這樣做可以減少漏洞存在的時(shí)間���,并減少攻擊者利用它的時(shí)間���。缺陷存在的時(shí)間越長(zhǎng),惡意攻擊者利用它們的可能性就越大�����。
WAF使開(kāi)發(fā)團(tuán)隊(duì)能夠立即進(jìn)行修復(fù)以防止攻擊�,同時(shí)為修補(bǔ)和更新應(yīng)用程序代碼提供喘息的機(jī)會(huì)。
雖然在分級(jí)環(huán)境或QA環(huán)境中運(yùn)行WAF可以深入了解特定的WAF配置是否能防止攻擊��,但不能替代針對(duì)實(shí)際生產(chǎn)網(wǎng)絡(luò)流量運(yùn)行WAF��。了解我們的雙WAF模式功能���,如何使安全團(tuán)隊(duì)在生產(chǎn)流量上測(cè)試新的WAF配置文件,阻止新出現(xiàn)的威脅�,并將響應(yīng)時(shí)間縮減到86%。
三����、應(yīng)用程序更新過(guò)程是怎樣執(zhí)行的��?
基于舊技術(shù)堆棧上的應(yīng)用程序應(yīng)該被更新或退役�。如果技術(shù)堆棧沒(méi)有得到維護(hù)����,許多公司就不能再修復(fù)舊的應(yīng)用程序代碼。平衡安全與業(yè)務(wù)的需求�����,可能需要一個(gè)臨時(shí)解決方案��。運(yùn)行一個(gè)全面的DAST掃描和一個(gè)精心調(diào)整的WAF�,并在需要時(shí)使用適當(dāng)?shù)淖远x規(guī)則,使您能夠安全地運(yùn)行Web應(yīng)用程序��,直到它們被升級(jí)或退役��。
四��、安全事件對(duì)服務(wù)器容量的影響是什么�?
平衡服務(wù)器容量和云計(jì)算成本是客戶(hù)體驗(yàn)和業(yè)務(wù)需求之間的一個(gè)權(quán)衡。然而�����,分配服務(wù)器容量來(lái)容納非法用戶(hù)并不是最好的方法。
盡管仍然存在大規(guī)模DDoS攻擊的威脅��,但在1 Gbps范圍內(nèi)的攻擊更為常見(jiàn)����。這些高要求的安全事件,以及使用您的網(wǎng)絡(luò)應(yīng)用程序的自動(dòng)掃描或爬蟲(chóng)��,可能不會(huì)成為新聞���,但會(huì)影響您的客戶(hù)在您的網(wǎng)站上的體驗(yàn)�。
利用基于云的WAF可以將這些不良流量在影響您的網(wǎng)絡(luò)應(yīng)用之前過(guò)濾掉它們�����,為實(shí)際用戶(hù)保留服務(wù)器容量����。
(圖片來(lái)源:Edgio)
>>立刻預(yù)約免費(fèi)網(wǎng)速&安全診斷
五、有哪些需要遵守的合規(guī)要求���?
根據(jù)您的行業(yè)和應(yīng)用類(lèi)型�����,您的應(yīng)用可能需要符合行業(yè)法規(guī)��。如果您的網(wǎng)站處理信用卡支付���,那么它可能必須符合PCI標(biāo)準(zhǔn)。因?yàn)槟膽?yīng)用程序使用和保留的數(shù)據(jù)具有敏感性��,您的公司可能需要符合SOC 2類(lèi)型��。許多這些行業(yè)法規(guī)都需要使用WAF���。即使沒(méi)有適用的行業(yè)法規(guī)��,您可能要考慮遵循行業(yè)的最佳實(shí)踐和準(zhǔn)則����。您可以使用互聯(lián)網(wǎng)安全控制中心或AWS的Well-Architected Framework�。這兩者都建議使用WAF,因?yàn)樗梢詸z查和過(guò)濾惡意的網(wǎng)絡(luò)流量���。
保護(hù)您的網(wǎng)絡(luò)應(yīng)用是一項(xiàng)重要的任務(wù)����,需要平衡安全、工程和商業(yè)利益��。有時(shí)���,這些利益會(huì)發(fā)生沖突�,使開(kāi)發(fā)人員很難采取行動(dòng)�。
開(kāi)發(fā)團(tuán)隊(duì)對(duì)威脅進(jìn)行優(yōu)先排序,并將修復(fù)措施執(zhí)行到您的CI/CD管道時(shí)�����,WAF可以幫助縮小這一差距�����。我們強(qiáng)大的����、具有成本效益的WAF洞察力降低了采用WAF的門(mén)檻。
請(qǐng)聯(lián)系我們����,以獲得關(guān)于加強(qiáng)網(wǎng)絡(luò)安全和我們的WAF洞察力的所有問(wèn)題的答案�����。
(圖片來(lái)源:Edgio)
Edgio(NASDAQ:EGIO)是邊緣軟件解決方案提供商,通過(guò)對(duì)內(nèi)容交付���、應(yīng)用和流媒體平臺(tái)的無(wú)縫集成�����,提供無(wú)與倫比的安全數(shù)字體驗(yàn)�。全球規(guī)模的技術(shù)和專(zhuān)家服務(wù)為全球品牌賦能��,覆蓋教育�����、娛樂(lè)�、現(xiàn)場(chǎng)實(shí)況及各種應(yīng)用,為每一位用戶(hù)提供迅捷�、動(dòng)態(tài)和流暢的數(shù)字體驗(yàn)。Edgio致力于提供無(wú)與倫比的客戶(hù)服務(wù)�����,并在每一步都擴(kuò)展價(jià)值,驅(qū)動(dòng)了全球約20%的互聯(lián)網(wǎng)流量�,為受歡迎的節(jié)目、電影���、體育�����、游戲�、音樂(lè)以及即時(shí)加載網(wǎng)站提供強(qiáng)大的支持服務(wù)���。
>>填寫(xiě)申請(qǐng)��,預(yù)約絲滑網(wǎng)速體驗(yàn)
(編輯:江同)
(來(lái)源:limelight)
以上內(nèi)容僅代表作者本人觀點(diǎn)���,不代表雨果跨境立場(chǎng)!如有關(guān)于作品內(nèi)容���、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與雨果跨境取得聯(lián)系����。
免費(fèi)參與·100+跨境活動(dòng) 
免費(fèi)下載·4000+跨境資料 
免費(fèi)學(xué)習(xí)·2000+直播課程 
免費(fèi)加入·15萬(wàn)+賣(mài)家交流群 
