一種創新型敏感數據安全技術:互動式應用安全測試(IAST)
責編:gltian |2019-01-18 13:41:46未授權敏感數據訪問亦稱敏感數據泄露,是個連Instagram和亞馬遜等以軟件安全著稱的大品牌都未能幸免的普遍性問題。敏感數據包括銀行賬戶信息等金融數據、個人可識別信息(PII)和受保護的醫療信息(比如與個人健康狀態、醫療服務條款或費用等相關的信息)。
Space Invader made of cargo containers in a harbor
如果發生敏感數據泄露,公司企業應通告監管部門以披露該數據泄露事件。比如說,GDPR規定,發生數據泄露的公司應在發現后72小時內予以披露。此類事件可對公司品牌造成很大傷害,損傷客戶信任以致業務喪失,還會讓公司面臨監管處罰和泄露事件調查的額外開銷。數據泄露甚至有可能將公司拖入司法訴訟的漩渦。總之,敏感數據泄露對公司未來的影響不可估量。全球已出臺多項監管規定對敏感數據保護的重要性加以強調。那么,為什么此類事件還是層出不窮呢?
雖然我們大多只聽說新聞報道的大公司數據泄露事件,但并非只有大公司才面臨數據泄露的風險。事實上,中小企業的敏感數據泄露問題也不小。攻擊者對中小企業下手的回報可能沒有對大公司的大,但小企業也不太可能具備能夠檢測、預防和緩解安全漏洞的策略。
為避免敏感數據泄露,無論是大公司還是中小企業都需要關注網絡安全。公司企業通常都會打造自己的應用程序,并幾乎總是依賴已有應用運營自己的業務。
如果你構建有自己的應用,請經常測試其安全性。而使用互動式應用安全測試(IAST),就可以在功能測試的同時執行應用安全測試,無需聘用專家進行漏洞評估。
IAST解決方案有助于公司企業用動態測試(亦稱運行時測試)技術發現并管理與Web應用運行時發現的漏洞相關的安全風險。IAST通過軟件工具監視應用運行情況,收集應用執行方式與操作內容的信息。
考慮到84%的網絡攻擊都發生在應用層,最好對與公司應用相關的數據做個清單,圍繞這些數據制定相關策略。比如說,數據保存期有多長,要存儲哪些類型的數據,誰能訪問數據等等。不要保存公司業務用不到的數據。信息保存時間夠用就行,不要太長。數據應設有授權和訪問控制措施。口令需恰當防護。員工也應接受數據處理及保護的相關培訓。
建議公司企業為自身應用處理的數據建立清單很容易,但具體操作起來很是費工。從哪兒入手都是個傷腦筋的問題。
IAST不僅能發現漏洞,還能同時加以驗證。采用傳統應用安全測試工具時,高誤報率是個常見問題。IAST技術的驗證引擎可幫公司企業理清該優先處理哪些漏洞并最小化誤報。
Web應用中的敏感數據可通過IAST監測,為數據泄露問題提供恰當的解決方案。IAST監視的應用行為包括代碼、內存和數據流,可以確定敏感數據的流向,檢測數據是否以未受保護方式寫入文件,是否暴露在URL中,是否經過恰當加密。只要敏感數據處理不恰當,IAST工具就會標記該數據處理實例。使用IAST工具無需人工搜索敏感數據,其工具智能可代替應用擁有者執行該操作——應用擁有者還可以修改規則精校自己的目標。
需要指出的是,應用由多個組件構成:第三方組件、專利代碼和開源組件。應用程序就像樂高積木一樣,其中每一塊(或幾塊)都有可能出問題。所以,測試應用的時候,必須全面測試這三類組件。
云遷移的影響也是不能不考慮的一個方面。隨著云采納的增長,越來越多的敏感數據存儲在企業網絡邊界之外。這就增加了企業的風險和攻擊界面。同時增加的還有監管壓力和在最短時間內以更少的資源交付更多功能的需求。這種情況下,IAST便成了應用安全、敏感數據泄露和安全事件預防測試的最優選項。