應(yīng)用程序安全評(píng)估是對(duì)組織安全狀況的綜合評(píng)估。Web 應(yīng)用程序安全評(píng)估是一個(gè)持續(xù)的過程；不是一年一次的活動(dòng)或合規(guī)手續(xù)。它必須從 SDLC 階段集成到應(yīng)用程序生命周期中，以實(shí)現(xiàn)有效的安全性。為了使應(yīng)用程序安全評(píng)估有效且令人滿意，它們必須包括 12 個(gè)關(guān)鍵組件。繼續(xù)閱讀以了解這些組件是什么。

有效應(yīng)用安全評(píng)估的 12 個(gè)必備組件

1. 定義明確的應(yīng)用程序安全策略和流程與業(yè)務(wù)影響相一致

Web 應(yīng)用程序安全評(píng)估不會(huì)自動(dòng)導(dǎo)致應(yīng)用程序安全。安全評(píng)估確定了幾個(gè)細(xì)粒度的漏洞，所有這些漏洞都不需要修復(fù)。該決定將取決于明確定義且不斷發(fā)展的安全策略和流程中建立的目標(biāo)、目的和范圍。

安全策略和流程將建立策略、補(bǔ)救策略、事件響應(yīng)計(jì)劃、補(bǔ)丁管理規(guī)則、可接受的行為等。他們將定義掃描、安全審計(jì)和滲透測(cè)試的頻率和范圍。為了有效地最小化 Web 應(yīng)用程序安全帶來的風(fēng)險(xiǎn)和最大化 ROI，策略和實(shí)踐必須與業(yè)務(wù)風(fēng)險(xiǎn)和影響相關(guān)聯(lián)。這要求企業(yè)識(shí)別關(guān)鍵任務(wù)資產(chǎn)、關(guān)鍵漏洞并優(yōu)先考慮其安全性。

2. 資產(chǎn)發(fā)現(xiàn)和管理

如果不了解清單，就不可能進(jìn)行令人滿意的應(yīng)用程序安全評(píng)估。在這里，企業(yè)需要規(guī)劃他們的 IT 環(huán)境以發(fā)現(xiàn)、分類和記錄他們的資產(chǎn)。應(yīng)用程序處于不斷變化的狀態(tài)，其中包含多個(gè)移動(dòng)部件和第三方組件。這種敏捷的 IT 環(huán)境意味著正在添加新的資產(chǎn)，這些資產(chǎn)需要被識(shí)別并包含在評(píng)估范圍內(nèi)。同樣，一些資產(chǎn)和組件可能會(huì)變得多余，從而產(chǎn)生新的漏洞；在被攻擊者識(shí)別之前，它們需要被識(shí)別和刪除。

3. 控制分析

企業(yè)通常會(huì)采取一些安全控制措施來識(shí)別威脅和漏洞并降低風(fēng)險(xiǎn)。這可能包括防火墻、防病毒、反惡意軟件、掃描工具、訪問控制、身份驗(yàn)證實(shí)踐等。通過控制分析，識(shí)別出這些控制。在這里，準(zhǔn)備了基于角色的訪問控制指標(biāo)，以了解不同用戶組的授權(quán)級(jí)別。這是安全審計(jì)和滲透測(cè)試的有用信息。

4. 威脅情報(bào)

成功的應(yīng)用程序安全評(píng)估必須包括主動(dòng)威脅識(shí)別。鑒于威脅形勢(shì)是動(dòng)態(tài)的，企業(yè)需要了解它們面臨的所有潛在威脅（現(xiàn)有的和新興的）、被攻擊的可能性以及成功攻擊的影響。為此，掃描工具、Web 應(yīng)用程序防火墻和其他安全工具必須實(shí)時(shí)添加來自全球的最新威脅情報(bào)，以進(jìn)行有效的持續(xù)評(píng)估和威脅預(yù)防。

5. 連續(xù)應(yīng)用掃描

成功的安全評(píng)估要求企業(yè)不斷識(shí)別其應(yīng)用程序、系統(tǒng)、第三方組件、軟件、代碼等中存在的漏洞、安全漏洞、弱點(diǎn)、缺陷等。因此，安全漏洞評(píng)估是必要的。WAS等自動(dòng)化應(yīng)用程序掃描工具可有效識(shí)別各種漏洞，包括 OWASP Top 10。此外，結(jié)合放置在網(wǎng)絡(luò)外圍的托管、直觀的WAF ，您可以自動(dòng)修補(bǔ)漏洞直至修復(fù)。

6. 滲透測(cè)試

雖然掃描工具可以識(shí)別大量漏洞，但它們無法檢測(cè)未知漏洞和業(yè)務(wù)邏輯缺陷。他們也不會(huì)告訴 IT 安全團(tuán)隊(duì)已知漏洞的可利用性。這就是為什么滲透測(cè)試是必要的，因?yàn)樗沂玖?Web 應(yīng)用程序安全的這些方面。它們清楚地展示了現(xiàn)有安全防御在保護(hù)應(yīng)用程序方面的有效性。

7. 誤報(bào)管理

誤報(bào)會(huì)消耗 IT 安全團(tuán)隊(duì)的時(shí)間和資源。通過使用 AppTrana 進(jìn)行誤報(bào)管理，企業(yè)可以確保零誤報(bào)并消除不必要的干擾。

8. 可能性確定

通過可能性確定，企業(yè)根據(jù)安全漏洞評(píng)估、控制分析和威脅識(shí)別的結(jié)果來評(píng)估攻擊/違規(guī)的概率。該組件可幫助企業(yè)將面臨的威脅分類為高、中、低，并據(jù)此制定戰(zhàn)略。

9. 影響分析

通過影響分析，企業(yè)可以評(píng)估成功的安全攻擊可能造成的潛在損害。企業(yè)必須考慮財(cái)務(wù)損失、合規(guī)性、法律成本、聲譽(yù)損害、客戶流失等因素。

10. 應(yīng)用安全風(fēng)險(xiǎn)評(píng)估

安全風(fēng)險(xiǎn)是威脅和漏洞的函數(shù)。使用威脅的可能性、資產(chǎn)的脆弱性和應(yīng)用程序安全風(fēng)險(xiǎn)評(píng)估期間的潛在影響來量化風(fēng)險(xiǎn)。此外，為所有資產(chǎn)創(chuàng)建風(fēng)險(xiǎn)評(píng)級(jí)。根據(jù)風(fēng)險(xiǎn)評(píng)級(jí)，對(duì)資產(chǎn)進(jìn)行優(yōu)先排序，并采取補(bǔ)救和安全措施。

11. 安全建議

有效的 Web 應(yīng)用程序安全評(píng)估的另一個(gè)重要組成部分是安全建議。確定當(dāng)前風(fēng)險(xiǎn)后，企業(yè)需要重新制定戰(zhàn)略并規(guī)劃其安全防御，以確保穩(wěn)健的安全態(tài)勢(shì)。

12. 結(jié)果文檔

記錄安全評(píng)估的結(jié)果勢(shì)在必行。生成的詳細(xì)報(bào)告可作為高層管理人員就應(yīng)用程序安全做出關(guān)鍵決策的基礎(chǔ)，包括預(yù)算、流程、程序等。它還為隨著時(shí)間的推移跟蹤和監(jiān)控關(guān)鍵指標(biāo)提供了堅(jiān)實(shí)的基礎(chǔ)。

結(jié)論

應(yīng)用程序安全評(píng)估使企業(yè)能夠了解其安全狀況。這些評(píng)估必須包括上述 12 個(gè)關(guān)鍵組成部分才能進(jìn)行有效評(píng)估。