随着网络威胁变得越来越强大和普遍,组织不断检查其应用程序是否存在安全漏洞至关重要。应用程序安全是通过查找、修复和增强应用程序安全性来使应用程序更加安全的过程。其中大部分发生在其开发阶段,但包括一些用于在部署后保护应用程序的工具和方法。随着黑客越来越多地攻击组织使用的应用程序,这变得越来越重要。应用程序的安全性引起了很多关注。数百种工具可用于保护应用程序组合的各种元素,从锁定编码更改到评估无意的编码威胁、评估加密选项以及审核权限和访问。今天,有专门用于移动应用程序、基于Web的应用程序的工具,以及专门为Web应用程序设计的防火墙。为什么应用程序安全很重要根据Veracode的软件安全状况第10卷调查报告,在公司测试的85,000个应用程序中,83%至少存在一个安全漏洞。许多应用程序存在更多漏洞,因为他们的研究发现这些应用程序中共有1000万个漏洞,其中20%的应用程序至少存在一个严重漏洞。并非所有这些漏洞都会带来重大的安全风险,但数量令人不安。组织在软件开发过程中发现和修复安全问题的速度越快,其业务就越安全。因为每个人都会犯错,组织面临的挑战是及时发现这些错误。例如,一个常见的编码错误可能允许未经验证的输入。这个错误可能会变成SQL注入攻击,如果被黑客发现,可能会导致数据泄露。集成到应用程序开发环境中的应用程序安全工具可以使这个过程和工作流更简单、更有效。如果组织正在进行合规性审计,这些工具也很有用,因为它们可以在审计员发现问题之前发现问题,从而节省时间和金钱。过去几年,企业应用程序构建方式的改变推动了应用程序安全领域的快速发展。IT部门花费数月时间完善需求、构建和测试原型并将最终产品交付给最终用户的日子已经一去不复返了。现在这个想法似乎已经过时了。相反,组织正在采用新的持续部署和持续集成工作方式,每天(有时每小时)优化应用程序。这意味着安全工具必须在这个瞬息万变的世界中发挥作用,并快速发现代码问题。研究公司Gartner在其2018年9月关于应用程序安全的炒作周期报告中表示,IT经理需要识别常见的应用程序开发安全错误并防止常见的攻击技术。他们提供十几种不同类别的产品,并描述了它们在“炒作周期”中的位置。其中许多类别仍在不断涌现,并以相对较新的产品为特色。这表明市场正在迅速发展,因为威胁变得更加复杂、难以检测,并且对组织的网络、数据和企业声誉的潜在损害变得更加严重。应用安全工具虽然应用安全软件产品种类繁多,但关键在于两个方面:安全测试工具和应用屏蔽产品。前者市场相对成熟,有数十家知名厂商,其中不乏IBM、CA、MicroFocus等软件行业巨头。这些工具非常成熟,以至于Gartner创建了魔力象限,对它们的重要性和成功进行了分类。ITCentralStation等评论站点也能够对这些供应商进行调查和排名。Gartner将安全测试工具分为几大类,这有助于确定您需要如何保护您的应用程序组合:静态测试,在开发过程中的固定点分析代码。这有助于开发人员在编写代码时检查他们的代码,以确保在开发过程中引入安全问题。动态测试,分析正在运行的代码。这更有用,因为它可以模拟对生产系统的攻击,并使用系统组合揭示更复杂的攻击模式。交互式测试,结合静态和动态测试的元素。移动测试专为移动环境设计,可检查攻击者如何利用移动操作系统及其上运行的所有应用程序。查看测试工具的另一种方式是如何通过内部部署工具或通过基于SaaS的订阅服务(提交代码进行在线分析)来交付它们。有些人甚至两者都做。一个警告是每个测试供应商支持的编程语言。有些人将他们的工具限制为仅使用一种或两种语言(通常Java是一个安全的选择)。其他人更多地参与了Microsoft.Net世界。集成开发环境(IDE)也是如此:某些工具可以作为这些IDE的插件或扩展运行,因此测试代码就像单击按钮一样简单。另一个问题是是否有任何工具与其他测试结果隔离开来,或者可以将它们合并到自己的分析中。IBM是少数可以从手动代码审查、渗透测试、漏洞评估和竞争对手测试中导入结果的公司之一。这可能会有所帮助,尤其是当企业有多种工具需要跟踪时。另外,不要忘记应用阻止工具。这些工具的主要目的是加强应用程序的安全性,从而使攻击更加困难。这是一个不太明确的区域。在这里,您会发现大量小型产品,在许多情况下历史和客户群有限。这些产品的目标不仅仅是测试漏洞,而是主动防止组织的应用程序被破坏或破坏。它们分为几个不同的大类:运行时应用程序自我保护(RASP):将这些工具视为测试和屏蔽的组合。它们提供针对可能的逆向工程攻击的保护。RuntimeApplicationSelf-Protection(RASP)工具持续监控应用程序的行为,这在移动环境中非常有用,当移动环境可以重写应用程序、在手机上运行应用程序或滥用权限将其变成恶意行为此功能在.运行时应用程序自我保护(RASP)工具可以发送警报、终止错误进程或在发现应用程序受到威胁时终止应用程序本身。运行时应用程序自我保护(RASP)可能成为许多移动开发环境中的默认设置,并作为其他移动应用程序保护工具的一部分内置。期望看到软件供应商与可靠运行时应用程序自我保护(RASP)解决方案结成更多联盟。代码混淆:黑客经常使用混淆方法来隐藏他们的恶意软件,现在工具允许开发人员这样做以帮助保护他们的代码免受攻击。加密和防篡改工具:这些是可用于防止恶意行为者获取代码知识的其他方法。威胁检测工具:这些工具检查组织应用程序运行的环境或网络,并评估潜在威胁和滥用的信任关系。某些工具可以提供设备“指纹”以确定手机是否已被入侵或遭到破坏。应用程序安全挑战问题是IT必须确保用户的应用程序是安全的。他们必须首先满足不断发展的安全和应用程序开发工具市场的要求,但这仅仅是起点。随着越来越多的企业深入研究数字产品,他们的应用程序组合需求将演变为更复杂的基础架构,因此IT还必须预测业务需求。他们还必须了解如何构建和保护SaaS服务。这是一个问题,因为最近对500名IT主管的调查发现,许多人缺乏软件设计知识。根据该报告,“首席信息官可能会发现自己处于组织的最高层,因为他们负责降低复杂性、控制预算并加速现代化以满足业务需求。”最后,应用程序安全的责任可能会分布在组织IT运营中的多个不同团队中:网络人员可能负责运行Web应用程序防火墙和其他以Web为中心的工具,服务器人员可能负责运行面向端点的测试,各种开发组可能还有其他问题。这使得很难想出一个适用于所有人的工具,这就是市场变得如此分散的原因。应用程序安全趋势2019年1月,Imperva发布了其Web应用程序漏洞状态。总体调查结果是积极的。尽管Web应用程序漏洞的数量继续增长,但这种增长正在放缓。这主要是由于物联网漏洞减少,2018年仅报告了38个新漏洞,而2017年报告了112个。另一方面,API漏洞在2018年增加了24%,但不到56%增幅的一半2017年,根据Imperva报告,另一个出现更多漏洞的领域是内容管理系统,尤其是Wordpress。平台上报告的漏洞数量增加了30%。报告指出,虽然Drupal内容管理系统不如Wordpress流行,但由于两个漏洞:Drupalgeddon2(CVE-2018-7600)和Drupalgeddon3(CVE-2018-7602),它已成为网络攻击者的主要目标。两者都允许攻击连接到后端数据库,扫描并使用恶意软件感染网络和客户端,或者挖掘加密货币。Imperva声称在2018年阻止了超过500,000次使用这些漏洞的攻击。Veracode的调查报告显示,最常见的缺陷类型是:信息泄漏(64%)密码问题(62%)CRLF注入(61%)代码质量(56%)输入验证不足(48%)跨站点脚本(47%))目录遍历(46%)凭证管理(45%),这些百分比代表了测试应用程序中的普遍性。自从10年前Veracode开始跟踪它们以来,上述所有漏洞的发生率都有所增加。Veracode的研究确定的一个积极趋势是,应用程序扫描在修复应用程序缺陷所需的速度和时间方面产生了巨大差异。总体修复率,特别是高严重性错误的修复率正在提高,从2018年的52%上升到56%,其中最高严重性错误修复率为75.7%。频繁扫描和测试软件的DevSecOps方法将减少修复缺陷的时间。每年扫描12次或更少的应用程序平均修复时间为68天,而每天扫描或更多次扫描的应用程序的平均修复时间降至19天。
