一種創(chuàng)新型敏感數(shù)據(jù)安全技術(shù):互動式應(yīng)用安全測試(IAST)
責(zé)編:gltian |2019-01-18 13:41:46未授權(quán)敏感數(shù)據(jù)訪問亦稱敏感數(shù)據(jù)泄露,是個連Instagram和亞馬遜等以軟件安全著稱的大品牌都未能幸免的普遍性問題。敏感數(shù)據(jù)包括銀行賬戶信息等金融數(shù)據(jù)、個人可識別信息(PII)和受保護的醫(yī)療信息(比如與個人健康狀態(tài)、醫(yī)療服務(wù)條款或費用等相關(guān)的信息)。
Space Invader made of cargo containers in a harbor
如果發(fā)生敏感數(shù)據(jù)泄露,公司企業(yè)應(yīng)通告監(jiān)管部門以披露該數(shù)據(jù)泄露事件。比如說,GDPR規(guī)定,發(fā)生數(shù)據(jù)泄露的公司應(yīng)在發(fā)現(xiàn)后72小時內(nèi)予以披露。此類事件可對公司品牌造成很大傷害,損傷客戶信任以致業(yè)務(wù)喪失,還會讓公司面臨監(jiān)管處罰和泄露事件調(diào)查的額外開銷。數(shù)據(jù)泄露甚至有可能將公司拖入司法訴訟的漩渦。總之,敏感數(shù)據(jù)泄露對公司未來的影響不可估量。全球已出臺多項監(jiān)管規(guī)定對敏感數(shù)據(jù)保護的重要性加以強調(diào)。那么,為什么此類事件還是層出不窮呢?
雖然我們大多只聽說新聞報道的大公司數(shù)據(jù)泄露事件,但并非只有大公司才面臨數(shù)據(jù)泄露的風(fēng)險。事實上,中小企業(yè)的敏感數(shù)據(jù)泄露問題也不小。攻擊者對中小企業(yè)下手的回報可能沒有對大公司的大,但小企業(yè)也不太可能具備能夠檢測、預(yù)防和緩解安全漏洞的策略。
為避免敏感數(shù)據(jù)泄露,無論是大公司還是中小企業(yè)都需要關(guān)注網(wǎng)絡(luò)安全。公司企業(yè)通常都會打造自己的應(yīng)用程序,并幾乎總是依賴已有應(yīng)用運營自己的業(yè)務(wù)。
如果你構(gòu)建有自己的應(yīng)用,請經(jīng)常測試其安全性。而使用互動式應(yīng)用安全測試(IAST),就可以在功能測試的同時執(zhí)行應(yīng)用安全測試,無需聘用專家進行漏洞評估。
IAST解決方案有助于公司企業(yè)用動態(tài)測試(亦稱運行時測試)技術(shù)發(fā)現(xiàn)并管理與Web應(yīng)用運行時發(fā)現(xiàn)的漏洞相關(guān)的安全風(fēng)險。IAST通過軟件工具監(jiān)視應(yīng)用運行情況,收集應(yīng)用執(zhí)行方式與操作內(nèi)容的信息。
考慮到84%的網(wǎng)絡(luò)攻擊都發(fā)生在應(yīng)用層,最好對與公司應(yīng)用相關(guān)的數(shù)據(jù)做個清單,圍繞這些數(shù)據(jù)制定相關(guān)策略。比如說,數(shù)據(jù)保存期有多長,要存儲哪些類型的數(shù)據(jù),誰能訪問數(shù)據(jù)等等。不要保存公司業(yè)務(wù)用不到的數(shù)據(jù)。信息保存時間夠用就行,不要太長。數(shù)據(jù)應(yīng)設(shè)有授權(quán)和訪問控制措施。口令需恰當防護。員工也應(yīng)接受數(shù)據(jù)處理及保護的相關(guān)培訓(xùn)。
建議公司企業(yè)為自身應(yīng)用處理的數(shù)據(jù)建立清單很容易,但具體操作起來很是費工。從哪兒入手都是個傷腦筋的問題。
IAST不僅能發(fā)現(xiàn)漏洞,還能同時加以驗證。采用傳統(tǒng)應(yīng)用安全測試工具時,高誤報率是個常見問題。IAST技術(shù)的驗證引擎可幫公司企業(yè)理清該優(yōu)先處理哪些漏洞并最小化誤報。
Web應(yīng)用中的敏感數(shù)據(jù)可通過IAST監(jiān)測,為數(shù)據(jù)泄露問題提供恰當?shù)慕鉀Q方案。IAST監(jiān)視的應(yīng)用行為包括代碼、內(nèi)存和數(shù)據(jù)流,可以確定敏感數(shù)據(jù)的流向,檢測數(shù)據(jù)是否以未受保護方式寫入文件,是否暴露在URL中,是否經(jīng)過恰當加密。只要敏感數(shù)據(jù)處理不恰當,IAST工具就會標記該數(shù)據(jù)處理實例。使用IAST工具無需人工搜索敏感數(shù)據(jù),其工具智能可代替應(yīng)用擁有者執(zhí)行該操作——應(yīng)用擁有者還可以修改規(guī)則精校自己的目標。
需要指出的是,應(yīng)用由多個組件構(gòu)成:第三方組件、專利代碼和開源組件。應(yīng)用程序就像樂高積木一樣,其中每一塊(或幾塊)都有可能出問題。所以,測試應(yīng)用的時候,必須全面測試這三類組件。
云遷移的影響也是不能不考慮的一個方面。隨著云采納的增長,越來越多的敏感數(shù)據(jù)存儲在企業(yè)網(wǎng)絡(luò)邊界之外。這就增加了企業(yè)的風(fēng)險和攻擊界面。同時增加的還有監(jiān)管壓力和在最短時間內(nèi)以更少的資源交付更多功能的需求。這種情況下,IAST便成了應(yīng)用安全、敏感數(shù)據(jù)泄露和安全事件預(yù)防測試的最優(yōu)選項。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧