制定 WEB 应用程序漏洞管理计划的重要性

安全资讯 小布 288浏览 0评论

有了互联网,一切皆有可能,至少看起来是这样。然而,随着 1990 年代后期 Web 应用程序的兴起,大部分 Internet 背后的真正力量实现了。尽管 Web 应用程序在 1980 年代之前就已经存在,但到世纪之交,它们演变成更加复杂的程序,并且在移动设备上取得了更大的进步。

现在,每天都有新的应用程序推出;有些变得过时并消亡,有些则推出并主导市场。G-Suite 是 Google 的流行应用程序集,它提供了从电子邮件到文档到电子表格再到日程表的众多服务。然而,随着此类应用程序的快速周转率和高流量/使用率,安全性有时会退居次要位置。一个2015年的研究发现,几乎所有的参与者经历了短短一年内的Web应用程序漏洞。

随着威胁意识的提高,网络安全研究人员和行业领导者希望更多的实体能够实施一项保护网络应用程序环境的行动计划。您知道为您的公司制定Web 应用程序漏洞管理计划的重要性吗?请继续阅读以了解更多信息。

 

 

为什么Web 应用程序漏洞计划很重要?

Web 应用程序是指通过将 Web 浏览器用作客户端(用于运行应用程序的程序)来执行特定功能的任何计算机程序。过去,计算机充当客户端,或者说是程序运行的对象;但是,在 Web 应用程序的情况下,Web 浏览器成为客户端。例如,个人可能在他们的计算机上使用 Google Docs(一个 Web 应用程序),但真正运行该应用程序的是作为客户端的 Internet。回顾这个基本概念似乎很简单,但它强调了 Web 应用程序在日常生活中的交织。员工和社会在工作中和家中使用 Internet 的数百次很可能是 Web 应用程序也被使用的实例。

Web 应用程序的好处很多,包括灵活性、可扩展性和增加的冗余。由于客户端通过网络浏览器运行,因此计算机类型或操作系统不会影响可访问性(例如,只要有互联网连接,就可以在任何计算机上访问 Google 文档)。理论上,重要的是互联网访问(有时是特定的浏览器)。位置不再限制访问,设备类型也不再影响可用性。这允许员工在不同地点工作并在一天中的任何时间进行协作。同样,开发人员拥有根据业务需求定制和扩展 Web 应用程序的能力。

然而,Web 应用程序兼容设备的分散特性扩大了实体必须担心的威胁面。安全策略应针对整个互连系统访问 Web 应用程序(即威胁参与者的任何潜在入口点)。因此,主动制定网络安全计划,而不是在发生漏洞时依赖被动措施,可能会提高实体的声誉和可靠性,并降低损害成本。一个Ponemon的研究机构报告的 Web 应用程序攻击每年花费大约 310 万美元,其中最大的资源消耗来自事件响应和技术支持。更令人担忧的是链接到 Web 应用程序的数据量。一次违规可能会影响数百万人,泄露数量惊人的 PII,并迅速破坏客户与客户之间的信任。简而言之,制定 Web 应用程序安全计划既要精通金钱又要精通公关。

 

 

常见应用程序漏洞

为了最好地保护 Web 应用程序免受安全问题的影响,重要的是“了解你的敌人”或至少是最常见的利用手段。开放式 Web 应用程序安全项目 (OWASP) 发布有关 Web 应用程序漏洞的报告。2017年,OWASP列出以下几点作为十大Web应用程序的安全隐患。

  1. 注入——当攻击者向解释器发送恶意数据时。一个正常的命令可能包括一行“注入”的代码,这些代码会危及系统。SQL、LDAP、XPath 或 NoSQL 查询容易出现注入漏洞;然而,ut 和 fuzzers(测试命令执行漏洞)降低了注入攻击成功的可能性。注入威胁可能会导致数据丢失、拒绝访问或完全失去系统控制。
  2. 损坏的身份验证– 当访问管理或用户登录未正确实施时,系统可能会受到损害。OWASP 指出,黑客最有可能访问有效的用户名和密码组合,以及默认密码或未过期的会话令牌。如果在完整的应用程序启动(即公司使用)之前没有实施适当的身份验证管理,威胁行为者可能会通过后门(例如,使用默认密码)获得访问权限。破坏的身份验证攻击尤其致命,因为只有一个被破坏的登录才能危及实体的整个系统和存储的数据。
  3. 敏感数据暴露——数据暴露是指传输和存储数据的脆弱性。OWASP 将未加密数据的错误列为此类违规行为的主要原因。PII 特别容易受到敏感数据暴露攻击的威胁。中间人攻击或服务器攻击属于这一类。
  4. XML 外部实体 (XXE)  此威胁向量指的是 XML 处理器,尤其是较旧的处理器,它们受到威胁并导致数据提取、DDoS 攻击或远程请求的执行。
  5. 失效的访问控制 当访问不受限制时,未经授权的方可能会渗透系统或窃取。尽管静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST) 工具仍然有利于公司的安全计划,但打击访问控制漏洞的最佳方法是手动测试。 
  6. 安全配置错误——指通过未修补的缺陷、默认帐户或未受保护的数据系统造成的破坏。这涵盖了广泛的应用程序实现组件,包括 Web 服务器、预安装的虚拟机、网络服务、代码、存储等。 OWASP 建议利用自动漏洞扫描来测试错误配置。
  7. 跨站点脚本 (XSS) 当应用程序在新网页中包含不受信任的数据而未进行适当验证或转义时,或使用可创建 HTML 或 JavaScript 的浏览器 API 使用用户提供的数据更新现有网页时, 就会发生这种情况。换句话说,当用户认为他们正在访问一个安全、合法的站点时,威胁行为者已通过用户的浏览器将恶意代码注入到应用程序中。后果包括重新路由到恶意站点和劫持用户会话。
  8. 不安全的反序列——当不受信任的代码被反序列化以创建漏洞/远程代码执行时,反序列化(即从字节创建对象)变得不安全。简单来说,这种攻击可以比作打包一个手提箱(序列化),然后打开它(反序列化)却发现藏在衣服里的老鼠。由于这是一种更复杂的攻击类型,因此也更具杀伤力。
  9. 使用具有未知安全漏洞的组件——应用程序组件包括库、框架和软件模块。如果这些组件中的任何一个受到威胁,整个应用程序都面临 Web 服务器劫持或数据丢失的风险。
  10. 日志记录和监控不足 -必须不断监控和测试系统,以快速检测任何违规或潜在漏洞。OWASP报告称,检测违规通常需要 200 天,并且在许多情况下,外部实体会向公司发出违规通知。

制定计划

除了详细说明 Web 应用程序的风险之外,OWASP 还提供了大量用于制定安全计划的资源和建议。对于上述每个漏洞,OWASP 描述了如何检查漏洞,概述攻击示例,并详细说明如何防止每个特定攻击。但是,在创建Web 应用程序漏洞管理计划时需要考虑一些整体安全方面,包括意识、计划、实施、管理和测试。

 

意识

尽管大多数安全专业人员可能会承认 Web 应用程序安全很重要,但许多人仍然认为它并不重要。然而,Web 应用程序攻击继续增加,尤其是随着物联网 (IoT) 的增长。报告指出,仅在 2017 年第二季度到第三季度,Web 应用程序攻击就增加了 30%。提高意识始于内部,确保员工和安全团队在漏洞发生之前而不是之后了解 Web 应用程序攻击的威胁。然而,提高认识也需要在某种程度上与其他实体保持透明。共享攻击指标可以帮助其他公司更好地保护他们的网络并防止数据被盗。

来源:Akamai 2017 年互联网状况报告

 

规划

计划和组织的力量怎么强调都不为过。在规划阶段投入足够的精力会增加制定完善且有效的安全计划的可能性,而不是在流程后期设计快速修复。首先,实体应该考虑他们当前的安全策略在哪里成功和失败,特别关注 Web 应用程序。在分析现有策略后,创建一个威胁矩阵,映射最有风险的威胁向量。头脑风暴是威胁矩阵流程的一个关键方面,它允许员工挑战安全假设。此外,在考虑威胁时有一定的想象力可能会导致突破并突出以前未知的漏洞。下一步的重点是围绕被认为风险最大的媒介制定计划。

作为模型流程,《计算机周刊》建议采取以下步骤:收集信息(例如,关于 URL 可访问性、IP 白名单)、进行风险分析、定义 Web 应用程序的优先级和规格、概述目标、创建基于角色的访问控制矩阵(即,将功能映射到授权接入点),最后选择适当的安全工具。总的来说,在整个规划过程中保持平衡很重要,确保不要在一个步骤上花费过多的时间而忽略或跳过另一个步骤。

 

实施、管理和测试

在选择部署哪些安全工具后,实体必须开始实施、管理和测试阶段。所有这三个步骤都是流动的,在不同阶段工作的人之间应该来回沟通。随着新应用程序的启动或实施,应检查新方法以提高安全性。例如,要实现的第一个工具可能是 Web 应用程序防火墙 (WAF)。

WAF 实施应该是启动或使用 Web 应用程序之前的优先事项,因为它可以说是抵御威胁行为者的第一道防线。WAF 在用户的浏览器和应用程序之间提供了一个屏障或检查点。不幸的是,研究表明企业未能理解 WAF 的运作方式,因此无法正确实施它们。此外,实体有时在 WAF 上花费的时间最少,因为他们关注的重点是性能而不是安全性。

因此,选择/开发最适合系统架构的 WAF 非常重要。OWASP 的 Web 应用程序防火墙评估标准项目提供了大量资源,用于确定选择哪种类型的 WAF 以及如何修改它以更好地满足企业的需求。跟上新的 WAF 发展和建议也将有助于缓解安全漏洞并改进防火墙部署。例如,Mentor最近列出了2018 年5 个最佳 Web 应用程序防火墙

在实施 WAF 和其他选定的安全措施后,测试应该是一项持续的任务,重点关注专有(内部设计)应用程序以及任何外部源应用程序(例如,系统中使用的开源应用程序)。虽然 WAF 保护 Web 应用程序环境的边界,但检查身份验证过程、访问和任何第三方组件将进一步加强内部安全。

由于 WAF 的动态特性和安全测试的耗时工作,管理这些系统和安全措施需要大量的时间和资源。当 Ponemon Institute对著名的Web 应用程序实体进行调查时,60% 的受访者表示他们认为至少应该指定 3 到 5 人单独负责 WAF 实施。随后,如果可能,建议实体指定一组员工来监控每个或几个安全方面(例如,两名员工只专注于 WAF),而不是简单地将安全责任与其他部门混为一谈。

 

接下来做什么

与大多数安全考虑因素一样,制定 Web 应用程序安全管理计划是一个过程——永远不会停滞,并始终适应新的威胁和安全漏洞。没有万无一失的计划,总会有新的漏洞挑战. 因此,不断地重新评估现有的安全措施并寻找改进的领域非常重要。用户希望持续访问应用程序;事实上,他们通常认为保护此类应用程序的所有“幕后”工作都是理所当然的。尽管确保良好的性能仍然是 Web 应用程序开发的重要组成部分,但同样重要的是要考虑由于 Web 应用程序攻击而导致的生产力/收入的潜在损失和系统基础设施的损坏。随着 Web 应用程序的广泛使用以及它们可以访问的大量信息,构建 Web 应用程序安全计划值得适当考虑。了解有关制定有效的Web 应用程序安全管理计划或其他网络安全解决方案的更多信息,今天联系 布尔云安团队。

转载请注明:布尔云安的博客 » 制定 WEB 应用程序漏洞管理计划的重要性

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址