應用安全

由于安全管理不善所引起的那些風險再也不能僅僅通過一些數字來進行徹底的了解，這些數字通常未涉及實際的量子損害及其連鎖反應。在瘋狂追趕上市時間的壓力之下，應用開發者可能沒有全面考慮數據安全和用戶隱私，只給企業提供了初級的臨時預防威脅的工具。當邊界安全在應用層激發了不安全的代碼，運行時安全只是更進一步地重現這種攻擊。這場混亂之后，應當如何阻止應用安全消失在眾所周知的百慕大三角中，即范圍、進度和預算？現在，讓我們了解一下常見的應用安全風險以及降低風險的方法：

風險：安全人員對運行時監控工具的支持不足

當令人費解的網絡邊界理念開始被視為異想天開，不切實際時，運行時應用自我保護就產生了，安全公司也下決心把防御層從邊界轉移到主機。不過 RASP 只能處理像 CSRF 和 SQLi 這些小范圍的網絡應用漏洞，開發者也可以不費吹灰之力地解決這些相對較小的威脅。

對于 RASP 和 WAF，更大的問題在于他們缺乏漏洞校正功能。本質上來說，他們所做的就是設立臨時障礙，而后者會成為檢測漏洞的“依托”。若這種依托和臨時修復未能得到記錄與保存，且未能傳到 IT 經理和高管那里，那么，隨著時間的推移，他們可能就被忽視了。因為在大家的印象中，這些漏洞已經得到修復。

你能做什么: 企業需要把安全滲透到開發團隊的核心，更精確地說是讓它成為 DevOps 的關鍵策略。可以尋求安全態勢分析師的幫助，他們會協助你制定詳盡的計劃和政策來管理補丁，記錄日志和生命周期文檔。這將能使你的企業知道哪種解決方案最適合你的業務線、端點、平臺、規模以及品牌形象意識。

風險：目光短淺的計劃

RASP 和 WAF 二者都是僅僅在應用的核心增設一層防護，并沒有幫助構建安全的應用程序。企業遲早都得面對這個艱難而又迫在眉睫的決定：是購買一個 RASP 補償控制擴展程序以實現零日漏洞，還是從開發人員處尋求修復方法。中小型企業在權衡妨礙業務連續性與部署成本時，往往難以作出抉擇。

你能做什么：設法充分預見長期利益，全面了解安全實現、產品及工具的局限性。詳盡的威脅偵測，除了能保持企業對具體情境中的漏洞感知，也對防御戰術進行了重點分析，并對威脅源與危險行為做了闡釋。因此，缺少此類偵測的風險緩解計劃是不夠完整的。

風險：全權委托運行時監控

運行時安全設計的目的在于阻止實時攻擊，但極易產生誤報。他們會把不常見的流量當成異常流量，阻止代碼執行，從而破壞數據可用性——最終造成給各種各樣的 DoS 自身攻擊。WAF 的智能之處盡在其簽名基類和模式匹配資源，但 WAF 并不知道應用程序如何處理用戶的輸入，它只知道阻止“似乎”是惡意的輸入。你可能已經猜到，黑客可以制造更巧妙的攻擊，這些攻擊偽裝成為無害的請求來欺騙 WAF 過濾器。

你能做什么：基本思想是人與技術保持同步。工具容易產生誤報，且不能獨自決定如何采取行動。安全專家需要不斷地對工具進行監控，以解釋復雜攻擊的本質并將其從常規的性能測試流量中區分出來。

還有一個重要的結論是，盡管 RASP 可以使你的應用具備自我保護能力，但這也意味著它能誘使黑客深入存儲棧，而可能還存在其他將黑客鎖定在網絡邊界外部的方法。這種情況就需要安全顧問的指導，他會灌輸魯棒文化，通過多層安全基礎措施來防止你的預算向單一且明顯不嚴密的防御機制傾斜。

安全狀態評估，從協助開發安全代碼著手，通過一個成熟的風險管理計劃，并以客制化的威脅分析作為強大后盾，給你帶來各種好處。安全工具或許可以找出并阻止某些預定義的活動，人為滲透測試卻可以打破陳規，并模仿那些盡其所能躲避標準入侵預防簽名的攻擊者。

原文鏈接：http://blogs.alephtavtech.com/application-security/avoid-these-application-security-risks/

如今，多樣化的攻擊手段層出不窮，傳統安全解決方案越來越難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,可以為軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客。

本文轉自 OneAPM 官方博客