除了应对这些天应用程序发布的大量和频率之外,应用程序安全团队现在还必须应对与远程工作和签入来自全球各地的代码相关的挑战。
随着应用程序每周、每天甚至每小时发布到生产环境中,DevSecOps 中的“秒”确实从未像现在这样相关或重要。是时候确保您的应用安全方法具有网络弹性了。这里有五个需要关注的领域。
1.自动化
自动化对于网络弹性至关重要。您需要利用工具,以使应用安全解决方案尽可能无接触和流程驱动。理想情况下,任何可以自动化的东西都应该是自动化的,而弹性系统将允许这样做。事实上,一个有弹性的系统不仅会允许它,而且还会推动自动化。
想象一下未来的环境,如果您需要突然扫描 1,000 个应用程序,您可以自动增加处理该容量所需的扫描仪数量。如果容量发生变化并且您不再需要那么多扫描仪,那么您的系统就足够智能,可以解决这个问题并自动降低数量。
在一个真正有弹性的系统中,自动化将允许开发人员编写和提交代码,并且扫描就会发生。你不应该做任何事情。系统会自动删除您无法修复的内容、在您的环境中不重要的内容、或您的 KPI 和类似性质的内容。这几乎就像您踩下汽车的油门踏板一样。有很多事情要做,但你不需要知道引擎除了它所做的任何事情。这是相当强大的。
最终,目标应该是拥有像拼写检查器一样自我修复的代码。我们还没有到那一步,但有一天会有足够的智能让你相信系统可以自行修复问题。
2. 有可操作的结果
您的应用安全计划应专注于推动测试结果的可操作性。它应该以您今天需要关注的事情为中心。从历史上看,当您真正需要的只是与组织和您相关的问题列表时,应用程序安全解决方案倾向于为您提供要解决的问题的清单。
一个有弹性的系统将专注于你今天需要解决的 10 件事,而不是你可能需要随着时间的推移解决的 1000 件事。它使用智能来识别可能影响或阻止您投入生产的问题。
可操作性是自动化的一部分。这意味着开发人员可以编写一些代码,而在幕后对代码进行评估并尽快显示相关且需要修复的内容。这就像从一匹马和一辆马车变成一辆特斯拉。
3.支持更频繁的扫描
您将代码安全地发布到生产环境中的能力以及遥测的速度在很大程度上取决于您能够扫描应用程序的频率。您需要应用程序安全性的弹性,因为您拥有更多应用程序并且您正在更频繁地扫描它们。这给应用安全团队、开发人员和 CISO 带来了很大压力。
弹性系统支持可扩展的扫描容量,从 1 次扫描到 1+n 次。虽然可扩展性与扫描仪数量和您拥有的应用程序数量有关,但弹性系统中的频率与您扫描这些应用程序的频率有关。
例如,如果您使用 GitHub 并且您每天扫描或提交 20 次,则您需要有一个足够有弹性的系统来处理该频率。这是关于具有突发功能,可以在达到阈值时打开更多扫描,而无需打电话给某人或去寻找其他产品。比如说,你只需在 Docker 中启动另一个容器,就完成了。
4. 覆盖范围广
现代 Web 应用程序非常受 Web 服务驱动,您拥有的 Web 服务和 API 越多,应用程序的风险就越大。弹性是指拥有一个应用安全解决方案,它不仅可以解决您现在正在做的事情,而且还具有应对未来挑战的灵活性和可扩展性。
您的解决方案需要与云无关,并具有涵盖本地和 SaaS 环境的灵活性。它应该能够快速支持新的语言和框架。覆盖面广度意味着支持企业现在和未来需要扫描的各种语言。大多数企业不仅仅拥有 .NET 或 Java,它们还拥有数十种语言。
如果您从 .NET 商店开始,并且拥有 .NET 的静态分析功能,那么如果有新团队加入或收购另一家公司,您是否有能力支持 Java?还是您需要出去购买一套全新的产品?一个有弹性的应用程序安全系统将能够扫描这些新应用程序,您可以简单地决定要利用哪种模型,从 SaaS 或内部部署到混合。
5. 确保它是可扩展的
在弹性系统中,您无需添加基础架构即可获得更多扫描功能。您的系统将与云无关,并且能够按需启动扫描服务器,并在您不需要它们时同样轻松地关闭它们。只需几分钟,您就可以从需要额外容量来扫描更多应用程序转变为仅打开额外容量。
许可灵活性对于可扩展性至关重要。它需要足够灵活,这样您就不必在每次需要额外容量进行静态或动态测试时都购买另一个许可证。您的许可证应该允许您根据需要和扫描容量来回移动。
为什么网络弹性是关键
Verizon 年度数据泄露调查报告的最新版本显示,Web 应用程序漏洞是网络犯罪分子的首要目标。Verizon 在 2019 年调查的数据泄露事件中,约有 40% 实际上涉及应用程序漏洞。
很明显:强大的应用程序安全计划对企业网络弹性至关重要。按照上面的指导来改变你的方法。
保持学习
- 未来是安全即代码。通过 TechBeacon 指南了解 DevSecOps 如何帮助您实现目标。另外:请参阅 SANS DevSecOps 调查报告,了解对从业者的重要见解。
- 使用 TechBeacon 指南快速了解应用程序安全测试的状态。另外:获取 Gartner 的 2021 年 AST 魔力象限。
- 通过 TechBeacon 的 2021 年应用程序安全工具指南了解应用安全工具领域。
- 下载免费的 Forrester Wave 静态应用程序安全测试。另外:在此网络研讨会中了解 SAST-DAST 组合如何提高您的安全性。
- 了解 API 安全需要访问管理的五个原因。
- 了解如何为未来十年制定应用安全策略,并在应用安全开发人员的生活中度过一天。
- 使用 TechBeacon 指南构建现代应用安全基础。