将企业面向公众的资产和 Web 应用程序的网络安全风险降到最低的四个问题
询问下列四个问题,帮助降低企业面向公众的资产和 Web 应用程序的网络安全风险。
对企业面向公众的资产和 Web 应用程序的持续网络攻击不会很快停止:根据 2020 年 Verizon 数据泄露调查报告 (DBIR) 可知,43% 的数据泄露都涉及针对 Web 应用程序的攻击。从新的自动化攻击工具到资金充裕的针对特定安全漏洞的老练黑帽黑客,对于恶意攻击者而言,现在比以往任何时候都更容易测试您的防御能力。
保护您的 Web 应用程序取决于您和您对攻击者可能在您的网络中发现和利用的弱点的理解。 一旦您了解了这一点,您就可以主动应用相关的补丁、代码修复和/或补偿控制措施来减轻威胁。
下列每个问题都提供了不同的视角,通过这些视角,可以查看企业面向公众的资产和 Web 应用程序带来的安全风险。
1. 什么是企业面向公众的资产的风险?
首先,让我们看看您将如何评估面向公众的资产的风险。 在理想情况下,您会希望尽量减少向外界暴露资产。您可以利用公共风险扫描来验证将您将尽量限制公众可见性。扫描的另一个优点是,它还将测试网络上的补偿控制措施,以确保这些控制措施工作正常。
不过,即便将最简单的信息暴露给外界,诸如文件传输协议 (FTP) 服务器版本等信息,都可以通过简单的“Google 黑客”技术进行利用。 因而,利用漏洞管理计划对面向公众的资产进行定期扫描,帮助您将风险降至最低,这一点非常重要。 风险扫描的结果最好用于配置您的网络和基于主机的补偿控制措施,避免暴露任何不需要的信息。
2. 我的网络后端存在哪些漏洞?
为了了解网络的弱点,我们建议从环境中托管的漏洞扫描程序或主机上安装的代理本地扫描网络。 在企业环境中使用授权扫描的本地扫描程序可以提供最全面的结果。要获得这种程度的详细信息,您需要提供凭据来评估目标。如果做到这一点不容易,您可以选择使用代理,代理不需要凭据,因为它们已经在主机上运行。
在授权扫描完成后,您将获得易攻击资产的漏洞的完整列表。接着,了解每个漏洞威胁的环境。了解每个漏洞的当前真实风险信息,这样可以根据漏洞的使用可能性更好地对修复工作进行优先级分析,从而更有效地利用稀缺的安全资源。
了解配置和合规性问题同样重要。您需要一个漏洞管理解决方案,能够根据一系列合规性标准和最佳实践模板来审核目标的配置,包括来自互联网安全中心 (CIS)、美国国防信息系统局安全技术实施指南 (DISA/STIG) 和支付卡行业 (PCI) 标准以及贵组织自己的内部标准。
3. 我如何知道我的 Web 应用程序是安全的,不会遭到攻击?
保护您的 Web 应用程序免受攻击的最快、最有效的方法之一是部署自动化 Web 应用扫描程序。例如,动态应用程序安全测试 (DAST) 是一种自动化渗透测试,它将以安全的方式与 Web 应用程序交互并评估响应,以显示 Web 应用程序的编码是否存在弱点。
与操作系统(OS) 和应用程序级漏洞和配置审核相比,DAST 工具可以更深入地动态评估 Web 应用程序,有助于确保应用程序不会受到意外操作或逻辑缺陷的影响。这还有助于验证运行环境,如结构化查询语言 (SQL) 注入,以发现任何编码缺陷和错误配置。同样重要的是要指出,某些传统的 Web 应用程序扫描程序与现代的应用程序没有可比性。现代 DAST 工具不仅可以扫描传统的 Web 应用程序,而且还支持使用 HTML5、JavaScript 和 AJAX 框架构建的动态 Web 应用程序,包括单页应用程序。
“左移”是将 Web 应用程序安全集成到软件开发生命周期 (SDLC) 中的最佳实践。在生产前环境中对您的 Web 应用程序进行全面测试,并在每次代码更改时自动进行安全扫描,利于提高企业的整体安全态势。这有助于更快地暴露 Web 应用程序中的漏洞,降低修复这些问题的成本,并限制因入侵而造成的潜在损害。
4. 我如何扫描 PCI 合规性?
PCI 数据安全标准 (DSS) 包括每季度外部扫描的要求 (11.2.2) 和经过批准的扫描供应商 (ASV) 提供的证明。您应将公共风险扫描结果与来自 ASV 的 Web 应用程序扫描解决方案相结合,以针对公共 Web 应用程序和资产提供证明。使用这些扫描结果,您可以按照 11.2.2 的要求完成获得合规性认证的过程,以便与任何相关方共享。利用预先配置的 PCI 模板和定义的争议流程可以帮助简化这一工作。
摘要
正如您所知,在评估企业面向公众的资产和 Web 应用程序来确定网络罪犯方面,没有什么灵丹妙药。也就是说,有一些最佳实践可以帮助您理解并最大程度降低风险。要了解更多信息,请查看“五大网络应用程序安全实践”电子书。
了解详情
相关文章
- Passive Network Monitoring
- Penetration Testing
- Risk-based Vulnerability Management
- Security auditing
- Security Policy
- Center for Internet Security (CIS)
- Vulnerability Scanning