Безопасность веб-приложений — не вставляйте его — создайте его в

admin

Насколько безопасны ваши веб-приложения? Если вы не проводите тестирование уязвимостей приложений на протяжении всего срока действия ваших приложений, вам не будет известно о безопасности вашего веб-приложения. That & Это не хорошая новость для ваших усилий по обеспечению безопасности или соответствия нормативным требованиям.

Компании делают значительные инвестиции для разработки высокопроизводительных веб-приложений, поэтому клиенты могут заниматься бизнесом, когда и где бы они ни выбирались. Несмотря на то, что этот 24-7-й доступ также привлекает криминальных хакеров, которые стремятся к потенциальным неожиданностям, используя эти очень доступные корпоративные приложения.

Единственный способ добиться успеха против атак веб-приложений — создать безопасные и устойчивые приложения с самого начала. Тем не менее, многие компании обнаруживают, что у них больше веб-приложений и уязвимостей, чем специалистов по безопасности, для тестирования и исправления их, особенно если тестирование уязвимости приложений не происходит до тех пор, пока приложение не будет отправлено на производство. Это приводит к тому, что приложения очень восприимчивы к атакам и повышают неприемлемый риск того, что приложения не будут подвергаться нормативным аудитам. На самом деле многие забывают, что соблюдение требований, таких как Сарбейнс-Оксли, Закон о переносимости и подотчетности медицинского страхования, Gramm-Leach-Bliley и правила конфиденциальности в Европейском Союзе, требуют требовательной, проверяемой безопасности, особенно там, где большая часть сегодняшнего риска существует — на уровне веб-приложения.

В попытке смягчить эти риски компании используют брандмауэры и технологии обнаружения / предотвращения вторжений, чтобы попытаться защитить как свои сети, так и приложения. Но этих мер безопасности веб-приложений недостаточно. Веб-приложения создают уязвимости, которые не могут быть заблокированы брандмауэрами, позволяя доступ к системам и информации организации. Иногда эксперты считают, что сегодня основные нарушения безопасности нацелены на веб-приложения.

Одним из способов обеспечения надежной защиты веб-приложений является включение тестирования уязвимости приложений на каждый этап жизненного цикла приложения — от разработки до обеспечения качества до развертывания — и непрерывно во время работы. Поскольку все веб-приложения должны соответствовать функциональным и рабочим стандартам, чтобы иметь ценность для бизнеса, имеет смысл включить проверку безопасности веб-приложений и тестирование уязвимостей приложений как часть существующих функций и тестирования производительности. И если вы этого не сделаете — проверьте безопасность на каждом этапе жизненного цикла каждого приложения — ваши данные, вероятно, более уязвимы, чем вы понимаете.

Пренебрежение тестированием уязвимости приложений: риски и издержки плохой безопасности

Рассмотрите сеть супермаркетов Hannaford Bros., которая, как сообщается, теперь тратит миллиарды, чтобы укрепить ее безопасность ИТ и веб-приложений — после того, как злоумышленникам удалось украсть до 4,2 млн. номеров кредитных и дебетовых карт из своей сети. Или три хакера недавно указали на кражу тысяч номеров кредитных карт, вставив пакетные снифферы в корпоративную сеть главной сети ресторанов.

Потенциальные затраты на эти и связанные с ними атаки веб-приложений быстро складываются. Когда вы рассматриваете расходы на судебно-медицинский анализ скомпрометированных систем, увеличилась активность call-центра от опрокинутых клиентов, юридических сборов и штрафных санкций, уведомлений о раскрытии информации о нарушениях, отправленных пострадавшим клиентам, а также других потерь бизнеса и клиентов, неудивительно, что в новостных сообщениях часто описываются затраты, стоимость которых составляет от 20 до 4,5 млрд. долл. США. Исследовательская фирма Forrester оценивает, что стоимость безопасного хлеба колеблется от примерно $ 90 до $ 305 за скомпрометированную запись.

Другие затраты, связанные с защитой веб-приложений, включают в себя неспособность вести бизнес во время атак типа «отказ в обслуживании», разбитых приложений, снижения производительности и потенциальной потери интеллектуальной собственности конкурентам.

. Что удивительно, что от всех рисков безопасности и регулирования, которые мы описали, является то, что он фактически более экономически эффективен для использования тестирования уязвимости приложений для поиска и исправления программного обеспечения, связанного с безопасностью дефекты во время разработки. Большинство экспертов согласны с тем, что, хотя на этапе требований это требует нескольких сотен долларов, для устранения таких недостатков это может стоить более 12 000 долларов, чтобы исправить тот же недостаток после того, как приложение было отправлено на производство.

Существует только один способ убедиться, что ваши приложения являются безопасными, совместимыми и могут управляться экономически эффективно, и чтобы адаптировать подход жизненного цикла к безопасности веб-приложений.

Жизненный цикл безопасности веб-приложений

Веб-приложения должны начать безопасно, чтобы оставаться в безопасности . Другими словами, они должны быть построены с использованием безопасных методов кодирования, пройти серию тестирования уязвимости и тестирования приложений и постоянно отслеживаться в процессе производства. Это называется жизненным циклом безопасности веб-приложений.

Устранение проблем безопасности в процессе разработки с помощью тестирования уязвимости приложений не может быть реализовано немедленно. Требуется время для интеграции безопасности на различные этапы разработки программного обеспечения. Но любая организация, которая предприняла другие инициативы, такие как внедрение модели зрелости возможностей (CMM) или даже проходящая через программу Six Sigma, знает, что это стоит того, потому что систематизированные процессы тестирования уязвимости приложений обеспечивают лучшие результаты, большую эффективность и экономию средств со временем.

К счастью, сегодня доступны приложения и инструменты для обеспечения безопасности, которые помогут вам добраться туда, не замедляя графики проектов. Но для того, чтобы усилить развитие на протяжении всего жизненного цикла приложения, необходимо выбрать инструменты тестирования уязвимостей приложений, которые помогают разработчикам, тестировщикам, специалистам по безопасности и владельцам приложений, и что эти инструменты очень тесно интегрируются с популярными IDE, такими как Eclipse и Microsoft для Visual Studio .NET для разработчиков.

И так же, как стандартизация процессов разработки, таких как RAD (быстрая разработка приложений) и гибкость, повышает эффективность разработки, экономит время и улучшает качество, ясно, что укрепление жизненного цикла разработки программного обеспечения, обладающего правом инструменты тестирования безопасности и размещение защиты программного обеспечения выше в списке приоритетов — отличные и бесценные долгосрочные бизнес-инвестиции.

Какие типы инструментов безопасности веб-приложений вы должны искать? Большинство компаний знают о сетевых сканерах уязвимостей, таких как Nessus, которые оценивают инфраструктуру для определенных типов уязвимостей. Но мало кто знает об инструментах тестирования и оценки уязвимостей приложений, которые предназначены для анализа веб-приложений и веб-сервисов для определенных им недостатков, таких как недопустимые входные данные и уязвимости межсайтового скриптинга. Эти сканеры безопасности и уязвимости веб-приложений полезны не только для заказных приложений, но и для обеспечения безопасности коммерчески приемлемого программного обеспечения.

Существуют также инструменты безопасности веб-приложений, которые помогают внедрить надежную систему безопасности и контроля качества на раннем этапе и через разработку. Например, эти инструменты тестирования уязвимостей приложений помогают разработчикам находить и исправлять уязвимости приложений автоматически, когда они кодируют свои веб-приложения и веб-службы. Существуют также приложения для проверки качества, которые помогают профессионалам QA автоматически интегрировать проверку уязвимости веб-приложений и приложений в свои существующие процессы управления.

Также важно знать, что только эта технология не будет выполнена. Вам также нужна управленческая поддержка. И независимо от того, насколько велики или малы ваши усилия в области развития, все заинтересованные стороны — владельцы бизнеса и приложений, команды по обеспечению безопасности, соответствия нормативным требованиям, аудита и контроля качества — должны иметь право голоса с самого начала, а также должны быть установлены критерии для качественного тестирования уязвимости приложений.

Хотя сначала это может показаться пугающим начинанием, подход жизненного цикла безопасности веб-приложений фактически экономит деньги и усилия, создавая и поддерживая более безопасные приложения. При устранении нарушений безопасности после выпуска приложения требуется дополнительное время и ресурсы, что приводит к непредвиденным затратам на завершенные проекты. Это также отвлекает внимание от других проектов, что потенциально задерживает время выхода на рынок новых продуктов и услуг. Более того, вы сэкономите на чрезмерном расхождении на устранение недостатков после развертывания приложения, и вы нарушили нормативные аудиты — и вы избежите смущения быть следующей новостью об отключении безопасности Заголовок.

Добавить комментарий

    Свежие комментарии