2016,拿什么拯救我的应用安全?
创始人
2025-01-28 20:30:16
0

2016年初,正当人们在憧憬新一年的美好愿景之时,中国股市的两次“熔断” 和一场席卷半个中国的寒潮给许多人的心理和身理上带来了双重寒意。悲观的人也许会认为这一年已经蒙上了一层阴影,而乐观的人则相信严寒过后温暖的春天就要到来。同样对于“应用安全”领域而言,层出不穷的应用漏洞、各种形式的应用攻击、不断曝光重大事故,给各种应用的开发者、运营者及最终用户造成了不小的心理阴影。

这几年间,我们多少都会注意到应用本身在发生的一些变化。我们今天所看到的应用与几年前的应用有很大的不同。特别是如今的应用设计与开发,受云计算、移动网络等技术的发展所影响,所以在应用市场,基于云计算、支持智能移动设备的应用的市场份额越来越高。一些技术正在死去,个别仍有机会重生,但市场上最活跃的永远是新生的事物。未来我们会看到更多的传统应用向新的应用迁移。所以我们谈论今天的应用安全,更多的焦点会落在以云计算应用和移动应用为代表的新应用上来。

应用的威胁发生了哪些变化?

首先,越是知名的应用、用户数量越多,越容易成为攻击者的目标。

而应用安全都不总是与应用的规模成正比,一些知名应用的安全性只是比一般应用稍好一点。从近年来国内外的一些著名应用攻击案例看来,攻击者的目标更加直接而明确,动作迅速而隐蔽,而且破害力极大。一次攻击搞垮一家公司并不是只出现在电影情节中,现实中依然可能发生。所以如果你的应用上了一定规模,那么一定要特别重视应用安全,而且不仅仅是重视,还应该有具体的措施。

第二,应用安全应该根据不同的服务模型采取不同的方法。

以基于云计算的应用为例。采用SaaS或PaaS的服务模型的应用在各个方面就有明显的区别。当对其展开安全工作时,有些安全措施和方法在这个模型下有效,而在另一个模型下就无效或效果不佳。所以在方法就应该有所差别,不能一概而论。而各种新型的应用模型的出现,对应用安全是一种挑战。相关的安全技术的创新和突破也不断出现。这些领域的各种创新和进展都值得应用安全的管理者关注。特别是要重点关注一些新兴的已经得到认可和广泛的使用的应用服务模型。目前的热点仍在云应用和移动应用方面。下图是给各位读者推荐的一个混合云模型的参考,如图:

2016,拿什么拯救我的应用安全?

图片来源(IBM安全服务:十项安全实践研讨白皮书)

第三,不仅要关注应用自身安全,还要关注生态系统及应用周边的安全。

今天的应用安全并不是只做好自身就够了。去年曝光的“XcodeGhost"事件就是一个例子,Apple公司的应用开发工具Xcode被植入恶意代码,导致国内外许多公司的应用受到影响。类似这样的风险是许多应用厂商以往从未考虑过的,更没有相应的的安全设计来消除的这类风险。而第三方工具只是应用所处的生态系统中的一个环节,还有许多环节的安全问题会影响到我们的应用。对于这一点,我们要有意识地去关注和获取一些安全情报,这是一项非常必要的工作,它让我们的安全视野从近景拉到远景,从而及时发现感知潜在的安全问题。

尽管安全形势不容乐观,但应用安全的内外部环境的变化趋势似乎渐渐明朗,许多应用安全的思想和方法在过去的基础上继续发展进化。我们相信未来蕴含着许多机遇,而前提是我们需要做好准备,并开动脑筋从各个方面去迎接应用安全的挑战,努力让我们的应用变得更安全。

全生命周期保障应用安全

显然,如果可以在整个软件开发生命周期内,管理漏洞测试并可以自动关联静态、动态和互动式测试结果,才是解决问题的关键。面对这种现状,IBM推出了应用安全测试解决方案IBM Security AppScan,其针对移动和基于 Web 的应用提供先发制人式保护,可保护应用当前不被恶意使用,并补救未来可能的潜在攻击,让安全和开发团队能够在整个应用生命周期中协作、制定策略并扩展测试。

据了解,在开发过程中IBM Security AppScan通过在软件开发过程中及早识别基于 Web 的和移动应用源代码漏洞并在部署之前使之消失,帮助组织节省成本,降低风险。为了提供增强的移动应用扫描功能,并支持对移动 Web、本机应用和混合应用的测试,IBM Security AppScan包含对 JavaScript、HTML5、Java 和 Objective-C 的支持,同时也支持与 IBM Worklight Studio 集成,并可扫描 Worklight 应用。

在集成和发布阶段,可以通过简单的配置,使用IBM Security AppScan对应用进行全面的扫描,企业仅需要指明 Web 应用的入口链接,IBM Security AppScan就会利用网络爬行(Crawling)技术,遍历应用中所有需要测试的链接,并对每个链接发送多种测试参数,诊断其有无漏洞可被利用,最后将结果呈现在用户面前。

值得一提的是,IBM Security AppScan 不仅可以对 Web 应用进行自动化的扫描、指出安全漏洞的修复意见,还可以将诊断结果,使用不同的行业标准、法规,形成针对性的报告,让相关人员对应用安全状况和法规遵从等有了全面的认识。

总之,借助第三方专业的安全服务厂商是一条捷径,毕竟他们的经验和专业可以给企业带来的有力的帮助,但需要谨慎选择。以上这几点只代表本人对应用安全的个人想法和体会,希望能给大家起到一点借鉴的作用。

相关内容

热门资讯

PHP新手之PHP入门 PHP是一种易于学习和使用的服务器端脚本语言。只需要很少的编程知识你就能使用PHP建立一个真正交互的...
网络中立的未来 网络中立性是什... 《牛津词典》中对“网络中立”的解释是“电信运营商应秉持的一种原则,即不考虑来源地提供所有内容和应用的...
各种千兆交换机的数据接口类型详... 千兆交换机有很多值得学习的地方,这里我们主要介绍各种千兆交换机的数据接口类型,作为局域网的主要连接设...
粉嫩如何诠释霸道 东芝M805... “霸道粉”是个什么玩意东芝M805拿过来的时候,笔者扑哧笑了,不是笑这款笔记本,而是笑这款产品的颜色...
什么是大数据安全 什么是大数据... 在《为什么需要大数据安全分析》一文中,我们已经阐述了一个重要观点,即:安全要素信息呈现出大数据的特征...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
全面诠释网络负载均衡 负载均衡的出现大大缓解了服务器的压力,更是有效的利用了资源,提高了效率。那么我们现在来说一下网络负载...
如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
30分钟搞定iOS自定义相机 最近公司的项目中用到了相机,由于不用系统的相机,UI给的相机切图,必须自定义才可以。就花时间简单研究...
Intel将Moblin社区控... 本周二,非营利机构Linux基金会宣布,他们将担负起Moblin社区的管理工作,而这之前,Mobli...