CISA 的零信任成熟度模型是现代 Web 应用程序安全的号召

安全资讯 小布 70浏览 0评论

针对联邦机构的日益复杂的网络攻击凸显了加强联邦网络安全的迫切需要。为了解决这个问题,CISA 发布了零信任成熟度模型,以帮助机构实施零信任架构 (ZTA)——而现代 AppSec 解决方案是这项工作的重要组成部分。

 

什么是 CISA 零信任成熟度模型?

在直接回应行政命令14028改善国家网络安全,对网络安全和基础设施安全局(CISA)发布了接近零信任架构新的指导。CISA 敦促各机构制定基于零信任概念的网络安全计划:防止对数据和服务的未经授权访问,并使访问控制执行尽可能细化。CISA 新发布的零信任成熟度模型旨在协助机构设计 ZTA 实施计划。

美国国家标准与技术研究院(NIST)将 ZTA 定义为“使用零信任概念并包含组件关系、工作流规划和访问策略的企业网络安全计划”。联邦政府在向 ZTA 过渡时面临着许多挑战,最明显的是遗留系统依赖于隐性信任,这与 ZTA 固有的自适应信任概念相冲突。

CISA 的这份指南是最新的,它强调了机构的一个更广泛的主题:随着一切都转移到云中,测试和保护一切(包括越来越多的支持网络的应用程序)的需求变得至关重要。专注于网络层的传统或遗留方法不再足以应对网络威胁。 

深入了解支柱 #4:应用程序工作负载

该文件的第四个支柱专门概述了威胁保护、应用程序安全和治理能力等功能的传统、先进和最佳方法。

传统的威胁防护和应用程序安全方法被描述为缺乏与应用程序工作流集成的方法,并且机构在部署之前执行应用程序安全测试,主要是通过静态和手动测试方法。 

另一方面,在最佳方法中,该机构将威胁防护深度集成到应用程序工作流中,使应用程序安全测试成为开发和部署过程的核心方面,包括对生产应用程序的定期自动化测试。该文件还敦促持续和动态的应用程序健康和安全监控,以及细粒度的测试策略和报告,以支持关键的治理能力。 

现代 Web 应用程序安全的号召性用语

在每一种情况下,推动保护应用程序工作负载的最佳方法都是对编排、自动化和治理水平的明确要求,而这些水平只能由现代 Web 应用程序安全测试解决方案提供。 

CISA 表示:“持续集成和持续部署模型将安全测试和验证集成到流程的每个步骤中,有助于为部署的应用程序提供保证。” 这样做清楚地表明,现代 AppSec 需要能够向左移动并集成到软件开发生命周期 (SDLC) 中,尽早将安全性构建到开发中。

但机构不能止步于此。CISA 继续说:“这种方法可以应用于整个应用程序生命周期,包括通过外部和内部手段监控已部署应用程序的运行状况和安全性,包括应用程序工作流的每个组件。” 向左移动时,机构不能忽视更大的图景。本节说明了定期自动扫描和重新测试以覆盖右侧仍然暴露的大型攻击面(暂存和生产中的应用程序)的情况。 

为什么现代 AppSec 是机构前进的唯一途径

尽管从表面上看,在最近的 ZTA 指南中只占相对较小的一部分,但 Web 应用程序安全将对机构大规模交付合规应用程序的能力产生不成比例的影响。今天使用的超过 1.9B 的 Web 应用程序可能存在严重的漏洞,使政府机构面临风险,并且不存在不重要的应用程序。

随着各地机构转向云优先环境,数据和功能可以从世界任何地方访问,因此他们必须拥有现代解决方案,以提供对每个网站和应用程序的全面可见性。 IAST 解决方案等现代漏洞扫描方法可以帮助机构持续诊断和降低所有 Web 应用程序的安全风险。

现代 Web 应用程序安全测试解决方案的支持下,机构将能够满足最新的 ZTA 指南,并在此过程中帮助增强联邦网络安全并帮助保护公共信息和关键基础设施。

转载请注明:布尔云安的博客 » CISA 的零信任成熟度模型是现代 Web 应用程序安全的号召

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址