1、应用程序成为攻击者焦点
在移动互联网时浪潮下,攻击者的目标已经从过去的服务器转移到应用程序。原因是:APP的爆炸式增长、高价值的用户信息可以从APP中获取。
2、数字化时代的安全挑战
- 威胁在持续增加
- 合规压力
- 数据安全及隐私保护
- 仅依赖运行时安全保护不够全面
- 基于边界的安全防御措施捉襟见肘
3、失控的安全措施
3.1 传统渗透测试已死
传统渗透测试通常需要持续好几天;然而现在互联网的软件开发团队大多使用敏捷模式;这就意味着软件发布速度变得越来越快。传统渗透测试的长持续性和敏捷的快速迭代发生了冲突。
3.2 安全测试难以全面覆盖
系统已购和业务复杂性大大提升。系统不仅仅包含内部接口还包含大量的外部服务接口;导致传统的安全测试难以全面覆盖;
3.3 安全开发生命周期坍塌
考虑到敏捷模式的快速迭代更新往往安全开发生命周期中的要求在市场机遇和开发交付时间的压力下变成了应付甚至是被忽略。所以现状变成了:前期靠安全规范、架构安全评审;中期忽略安全问题的预防、及时检测和修复。后期靠渗透测试来兜底。
3.4 规模化安全声明周期遇到瓶颈
在规模稍大的系统架构中;各个团队使用的安全工具厂家不同、版本不同;为了及时交付扫描的规则不同;造成安全活动产出物质量参差不齐、运行效率没有保障、覆盖面不全、升级维护难。
4、如果应对挑战
4.1 敏捷安全测试
采取“短平快”的、适配于敏捷开发模式的安全测试;可以通过静态及动态应用安全扫描、自动化安全测试用例、急速安全实现确认等方式来达到安全测试全面覆盖。阻止漏洞进入生产环节。
4.2 深度安全测试
安全专家和开发团队高效协助,综合使用威胁识别、架构和实现确认、安全评审等多种手段;深入理解带测试应用的技术及业务上线文,针对应用特性定制化安全测试用例,从而兼顾技术和业务漏洞的检测,深挖不易发现又几句破坏性的安全漏洞。
4.3 高效S-SDLC实施
分析S-SDLC在敏捷视角下的实施痛点,对其进行改良以更好的适配开发团队的诉求。保证S-SDLC的多层次纵深防御成为现实。
4.4 构建安全服务平台
安全部门需要架构安全服务平台,向开发团队提供开箱即用的安全服务。
安全服务平台:对多种安全工具、服务、内容的统一封装,通过交付API或者UI交付,以及融入交付基础设施等途径;向安全团队提供便捷的贯穿软件开发声明周期的安全服务集合。来实现如下价值:
- 开箱即用,降低使用门槛;
- 减少甚至避免重复建设;
- 安全信息集散中心,形成闭环
- 提供多维可视化便于跟踪和推动安全生命周期的各项活动。
- 集中管理、易于维护。
本文由 huzd 创作,采用 知识共享署名4.0 国际许可协议进行许可本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名最后编辑时间
为:
2020/03/29 11:33