什么是应用程序安全性(AppSec)?

应用程序安全威胁:OWASP十大威胁

影响软件应用程序的安全威胁数不胜数. however, 开放Web应用程序安全项目(OWASP)十大应用程序威胁列表汇编了最普遍和最严重的应用程序威胁, 并且最有可能影响生产中的应用程序.

AppSec的举措必须至少关注这些对现代应用程序的重大威胁:

1. 扎-code注入涉及发送到软件应用程序的查询或命令, 其中包含恶意或不受信任的数据. 最常见的是SQL注入，但它也会影响NoSQL、操作系统和LDAP服务器.
2. 破碎的身份验证-许多应用程序的认证和授权功能不充分或无法正常工作. 这可以允许攻击者窃取用户凭据, 或者在没有适当凭证的情况下轻易获得访问权限.
3. 敏感数据曝光-应用程序和api可能公开暴露属于组织或其客户的敏感数据, 包括财务或付款细节和个人身份信息(PII).
4. XML外部实体(XXE)-攻击者可以恶意使用XML文档中的外部实体引用, 因为旧的XML解析器存在漏洞. 这些可以用于访问内部文件、扫描端口和远程执行代码.
5. 访问控制中断-对认证用户的限制没有正确实现. 攻击者可以利用这一点访问未经授权的函数或数据, 访问其他用户的帐户, 查看敏感文件, 或者修改其他用户的权限.
6. 安全错误配置即使应用程序具有安全特性，它们也可能被错误配置. 这种情况经常发生，因为没有人更改应用程序的默认配置. 这包括未能给操作系统和框架打补丁.
7. 跨站脚本(XSS)-允许攻击者在用户浏览器中运行恶意脚本. 这可以用来窃取他们的会话, 将用户重定向到恶意网站, 或对网站进行污损.
8. 不安全的反序列化-从文件中提取代码并将其构造为对象的错误. 这可能会导致恶意代码执行, 特权升级, 以及授权用户的回放活动.
9. 使用具有已知漏洞的组件-多个漏洞数据库报告软件组件中的已知漏洞. 使用易受攻击组件的软件(即使只是作为其中一个组件的依赖项)也容易受到攻击.
10. 足够的日志 & 粮食-许多应用程序可能没有识别或记录企图破坏的方法. 这可能意味着漏洞不会被发现, 攻击者可能会进行横向移动以破坏其他系统.

AppSec的基本流程包括以下几个阶段:

1. 定义企业资产
2. 确定每个应用程序如何影响这些资产
3. 为每个应用程序创建安全配置文件
4. 识别潜在威胁并确定优先级
5. 记录安全事件和缓解措施

应用安全测试工具

AppSec工具集中有三种主要类型的工具:SAST、DAST和IAST.

静态应用安全测试(SAST)

SAST工具支持白盒测试. 他们评估应用程序代码, 扫描它以识别错误, 可能产生安全问题的漏洞或其他弱点. SAST可以在已编译代码、非编译代码或两者上运行.

SAST分析可以识别以下问题:

• 竞态条件
• 路径遍历
• 缺少输入验证
• 数值或数据类型错误
• 不安全的引用或指针

动态应用安全测试(DAST)

DAST工具使用黑盒测试方法来测试正在运行的应用程序的安全性问题. 它们在源代码运行时执行动态分析. DAST通常使用模糊测试, 这涉及到击中应用程序与大量的随机, 意想不到的请求.

DAST可以检测安全漏洞的情况，例如:

• 不安全或易受攻击的接口
• 异常的请求和响应
• JavaScript和Python等语言中的脚本问题
• 数据或代码注入
• 会话异常
• 身份验证问题

交互式应用安全测试(IAST)

IAST是一种结合了SAST和DAST的混合方法. 安全测试的交互式方法结合了静态和动态分析——这使得识别已知漏洞成为可能, 还要看看它们是否真的在运行中的应用程序中使用，是否可以被利用.

IAST工具收集有关应用程序执行流和数据流的详细信息, 并且可以模拟复杂的攻击模式. 因为它对正在运行的应用程序执行动态扫描, 它可以检查应用程序如何响应, 并相应地调整其测试. 这可以用来自动创建新的测试用例, 等等(就像一个人体渗透测试员).

由于这种方法, IAST工具可以深入调查可疑的安全问题, 这样可以减少误报的数量. 它们也更自然地适合快速发布的敏捷开发过程.

基于规则的Web应用防火墙(WAF)

a waf 是否在网络边缘部署了解决方案, 哪个检查流入和流出网络的流量, 并试图识别和阻止恶意流量.

traditional, 基于规则的waf是一种高维护工具，需要组织精心定义与特定流量和应用程序模式匹配的规则集. 此外，基于规则的waf对不断变化的攻击向量的覆盖范围有限.

in addition, 传统的waf不能自动保护新的微服务, 因为每个新部署的微服务都需要定义新的规则和策略. 在实践中, 这意味着组织部署的新系统在许多情况下不会受到保护.

应用程序安全性最佳实践

下面是一些你可以用来在组织中有效实现AppSec的最佳实践.

从威胁评估开始

调查攻击者可以使用哪些主要入口点来破坏您的应用程序, 什么安全措施到位了, 以及它们是否足够. 设定合理的目标, 以及随着时间推移的里程碑, 针对每种类型的威胁，您希望达到的安全级别.

保安左移

安全测试必须与软件开发生命周期(SDLC)完全集成。, 从规划阶段开始, 通过发展, 测试和部署到生产环境.

使用自动化工具确保应用程序在过程中尽可能早地进行测试, 在多个检查点 CI / CD管道. for example, 当开发人员提交代码并触发构建时, 该代码应该自动进行某种形式的安全测试, 使开发人员能够立即修复代码中的安全问题.

应该再次测试相同的代码, 更全面, 当提升到测试和生产环境时.

优先考虑补救

应用程序安全性会导致应用程序中的漏洞被发现，并且无法修复所有漏洞. 优先级划分对于确保快速修复关键漏洞非常重要, 不影响开发人员的工作效率.

您的安全测试过程应该包括显示漏洞严重性和可利用性的自动化度量, 如果有必要, 手动评估，指示漏洞是否真的构成业务风险. 没有在生产环境中运行的脆弱组件不是优先考虑的对象.

确保开发者知道他们在开发真实的游戏, 引人注目的漏洞, 并有时间在SDLC中任何出现的地方进行补救.

跟踪AppSec结果

AppSec程序需要大量的时间和资源投资, 以及文化和组织的变化. 了解程序对安全性的影响，以证明程序的合理性并确保得到管理层的支持是很重要的.

您可以跟踪和共享的重要指标，以展示AppSec的成功——每周或每月的趋势可以显示引入应用程序安全措施的影响:

• 违反AppSec内部政策的次数
• 违规次数
• 在测试环境中发现的安全缺陷的数量
• 在生产中发现的安全缺陷数量
• 保安事故数目

管理权限

与应用程序安全程序相关的一切都是敏感数据，对攻击者来说可能非常有用. 确保你仔细管理:

• 策略和流程的文档化
• 使用安全工具
• 能够使用CI/CD和开发工具

使用最小特权原则, 确保每个用户只能访问他们工作中绝对需要的数据和系统. use zero-trust原则 集成系统之间, 确保每个系统只拥有运行所需的最小权限.

带有检查点的AppSec

EBET真人的CloudGuard包括一个零配置应用程序安全解决方案，提供:

• 精确的预防-防止复杂的攻击，如OWASP top 10, 不会产生假阳性
• 零策略管理-自动适应应用程序更改和更新
• 灵活，快速部署-可在48小时内部署保护

在一个正在申请专利的上下文AI引擎的驱动下， CloudGuard应用安全 是完全自动化的，可以部署在任何环境.