Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

Web 应用程序安全:Formula 1™ 一级方程式赛车教会我们的 3 件事 

Web 应用程序安全不仅仅是一种最佳实践,更是安全计划的关键组成部分。了解如何发现和测试 Web 应用程序将有助于战胜攻击者。

长期以来,Web 应用程序在支持电子商务和关键业务计划方面一直发挥着关键作用。 那么,为何仍有大量企业难以保证自身安全?

最近,一款颇受争议、名为 PunkSpider 的工具(再次)声称可以抓取整个网络中的数据,可以识别网站中有可能遭黑客攻击的漏洞,并且会将漏洞信息公布于众,以便每个人都可以搜索到这些结果。

企业难道不应在他人测试网站和 Web 应用程序之前便掌握此类信息? 先行发现并测试 Web 应用程序是否存在漏洞,这将有助于最大限度减少停机时间,最大限度提高收入,并获得确保业务成功所需的竞争优势。

借鉴 Formula 1™ 一级方程式赛车的经验,应用到 Web 应用程序安全工作中

现在,把 Web 应用程序想象成 Formula 1™ 一级方程式赛车,开发人员就是车手,而安全团队就是后勤团队。车手关心赛车的性能和速度,而后勤团队则希望确保赛车安全、维护良好且无漏洞。 如果赛车表现出色,那么整个车队不仅能够获得经济上的收益,还可以扩大车队车迷群体。 就像赛车一样,当一家公司的电子商务网站表现出色时,也会产生收入。 但如果受到攻击或遭受停机,则公司就会产生经济损失,声誉也会受损。

那么,我们能从 Formula 1 一级方程式赛车中学到哪些经验?

1: 可见性是头等大事

可见性对 Formula 1 一级方程式车队的成功至关重要。F1 车手需要与后勤团队连续保持无线电通讯,以便清楚地了解整场比赛的情况,包括赛道、弯道以及赛道上所有赛车的状况。 

Web 应用程序就像 Formula 1 一级方程式赛车一样,需要在高速多变的环境中运行。 但遗憾的是,安全团队往往无法全面知晓企业其他部门正在开发的网站和 Web 应用程序。 例如,员工代表公司使用未经授权的第三方 Web 应用程序,以及可能造成安全漏洞的废弃和过时的 Web 应用程序。了解企业中拥有哪些 Web 应用程序(无论是内部、开源还是第三方开发)是保护它们的重要第一步。

2: 维持高效的后勤团队

Formula 1 一级方程式车队以其团队合作、高效工作和保持赛车以最佳性能水平安全运行的能力而著称。 在比赛过程中,后勤团队必须彰显极致的卓越高效精神,在平均不到三秒的时间内为赛车加油和更换轮胎。这种惊人的效率令人印象深刻,不禁会引发汽车经销商的维修服务难以望其项背这种感受。

同样,如果我们把开发人员想象成赛车手,那么安全团队就可以类比为后勤团队。 开发人员追求 Web 应用程序的性能和速度,并且经常担心额外的安全程序是否会阻碍 Web 应用程序的敏捷性。 在开发人员编写安全代码时,安全专业人士需要提供指导、帮助和支持。 整个团队的目标在于确保 Web 应用程序的性能和速度,同时保持良好的网络安全机制并增强安全态势。

3: 驾驶暖胎圈

在正式比赛之前,赛车手会进行一次暖胎或编队圈,在赛前最后一次观察赛道、暖胎,并确保赛车为比赛做好了充分准备。

赛车手需要换挡;而安全领导者则需要“左移”。如今的业务环境变化多端,向 DevOps 团队提交静态漏洞报告的传统安全实践已不再可行。将 Web 应用程序扫描工具尽早集成到软件开发生命周期 (SDLC) 的开发、测试和/或 QA 阶段中,就类似于赛车暖胎圈,这有助于尽早发现漏洞,降低修复这些问题的成本,避免因入侵事件而蒙受损失的几率。 根据 Gartner 的研究,到 2023 年,超过 70% 的企业 DevSecOps 计划将包含针对开源组件和商业软件包的自动安全漏洞和配置扫描,相较于 2019 年的不到 30%,涨幅显著*。 在应用程序投入生产之前和代码更改时,次次执行应用程序安全扫描是改善安全态势所建议的最佳实践。

各就位,预备,出发!

现在,通过消除安全团队和 DevOps 团队之间的隔阂,并将安全扫描集成到 SDLC 中,比赛已经做好了充分的准备,可以确保 Web 应用程序安全并提高效率。

*资料来源: Gartner,“获得成功 DevSecOps 要做对的 12 件事”,Neil MacDonald 和 Dale Gardner,2021 年 4 月 9 日更新。

GARTNER 是 Gartner, Inc. 和/或其附属公司在美国及全球的注册商标和服务标志,特此经授权使用。 保留所有权利。

了解详情

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

tenable.io

免费试用 30 天


可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

Tenable.io 免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

试用 Tenable.cs

免费试用 30 天 在软件开发生命周期的设计、构建和运行时阶段,享有检测和修复云基础架构错误配置的完全访问权限。

购买 Tenable.cs

联系销售代表,了解有关云安全的更多信息,以及如何从代码到云,全程护航。