关于应用程序安全策略,看这篇就够了
编译:360代码卫士团队
应用程序安全 (AppSec) 策略能够成就或破坏企业安全计划。本文根据Veracode公司发布的《应用程序安全策略指南》进行编译,介绍了应用程序安全策略针对企业安全的一些具体实践。
策略很重要
越来越多的人意识到,应用程序安全在保护珍贵的企业资源方面起着重要作用。如能得到有效利用并结合其它安全解决方案,AppSec 就能在漏洞和风险造成重大泄漏和崩溃后果之前检测并找到它们。然而,和任何工具或方法论一样,AppSec 要求通过强壮的结构性框架才能输出最好的结果。定义不够明确、不够集中的 AppSec 计划适得其反:开发人员被压得透不过气来,而安全团队不会严肃对待威胁。
因此,我们需要尽可能有效地完全理解风险、平衡优先级并重点关注相关资源。设计强壮的应用程序安全策略框架的方法并不只有一种。它关注的是在正确的风险和保护层面设置障碍、判断真正重要的缺陷是哪些、了解修复措施和缓解措施,并持续关注对第三方应用程序和开源组件的使用情况。当你能够平衡这些需求并持续关注某些标准如 OWASP Top 10 或 SANS 25 时,你将会做好将性能和保护措施发挥到极致的准备。
对策略的反思
执行或更新 AppSec 计划或策略框架的组织机构通常会因为明确什么是重要的、什么是可实现的以及什么是想要的(但并非必不可少的)结果。做出平衡非常重要,因为遵守新策略的组织此前很可能并不拥有正式框架。如果 AppSec 策略太过艰巨或不切实际,开发人员和安全团队可能会感到压力剧增而且在计划开始落地之前就放弃。另外,他们必须经常学习新要求,应对新进程和工作流。
很多应用程序安全策略在我们并不具备快速自动的安全工具时就已构建,因此我们有必要回顾并构建能够同时实现开发人员“快速写出好代码”的目标的新策略。
改进策略
构建更好的 AppSec 计划的一个关键点是明确定义所要求的工具、控制和系统是什么。这种任务必须同时在技术和进程中开展,而且无缝对接。评估工具就是其中一部分,包括静态、动态和成分分析。企业也必须明确关键的标准,如修复某个缺陷的可接受的时间跨度。
制定合适的策略也非常重要。并非所有的 app 和任务都建立在平等的基础上,外部和内部 app 的要求可能完全不同。随着开发速度的加快,确保对策略的变化不会阻止团队的步伐拖慢开发进展是一个非常紧急的需求。从实践层面来讲,这意味着需要将关键的安全保护措施嵌入开发周期中,并且在最佳时点插入代码审查和扫描。
关注管治
任何有效的 AppSec 计划的中心都在于管治。如果无法追踪性能和策略的遵守情况、分析行为和行动、执行策略,那么安全计划就可能陷入一片混乱。安全专业人员可能会在追踪缺陷和解决漏洞问题方面花费更多的时间。强壮的管治框架有助于确保组织机构同步并致力于于将风险最小化将保护措施最大化。这种框架在应用程序、组合和系统中创建了一种一致且统一的方法。
强壮的管治框架的要素:
集思广益,解决实践要求和真实需求。
重点关注安全而非计划参与,解决内外挑战。
跟进行业标准如 OWASP Top 10、SANS 25、HIPAA 或 PCI,解决相关风险。
集中精力解决现实中的漏洞而非缺陷,从抽象的威胁转向真实的危险。
衡量修复方案和缓解措施,有助于确保资源和预算落到实处并以结果为导向。
通过指标和关键性能指标衡量结果。这样做有助于组织机构追踪合规性、缺陷影响范围、修复速度、缺陷密度和与业务以及目标相关的性能指标。
给出应该更新策略的洞见。有了正确的监控系统,就很可能发现可通过调整策略和程序被解决的差距。
策略最佳实践
让 AppSec 管治和策略效果最大化的方法有三种:一是确保策略对进程和工作流是一种补充,而非为安全制造摩擦和潜在的障碍。二是引入奖励制度、避免惩罚制度。三是不要把门槛设置得太高,以免让不切实际的衡量指标挫败士气。
区别对待漏洞
意识到并非所有的漏洞和风险都应该一视同仁是一回事,但构建具有正确策略的且能够把企业资源用在刀刃上的框架又是另外一回事。高德纳认为开发健全策略和解决 AppSec 挑战主要取决于三个因素:以威胁为中心(初步阶段)、以漏洞为中心和以资产为中心(最终阶段)。
通过最佳实践方法构建策略
管治并非最终目标,它是有效应用并管理策略的机制。你所在的组织机构为所在行业、业务和风险模型设计正确策略的能力至关重要。以下因素在衡量策略成功与否方面起着重要作用:重点关注计划参与;集中精力处理缺陷而非漏洞;理解修复方案和缓解措施;在设计策略时将第三方应用程序考虑在内。
硬编码一个安全策略
在最后的分析阶段,很显然,健全的 AppSec 策略离产出最佳实践还有很长一段路要走。强壮的应用程序安全计划的中心在于有效的策略,它们明确了组织机构应该面临风险时如何行动。被衡量的东西就是被完成的东西。如今,应用程序安全并非事后想法,也并非组织机构在面对网络安全挑战时胡乱使用而能产生出色结果的一种工具。我们需要了解策略的力量、它们如何影响企业内部的行为和行动以及强壮的管治结构和策略如何有助于快速减少风险。随着组织机构追求更快更智能的步伐越来越近,制定全面的应用程序安全框架显得尤为重要。
关于应用程序安全的一个基本事实是,任何策略的复杂程度都应该被控制在必要范围内。确保 AppSec 策略是在推进而非阻碍计划的实施非常重要。
推荐阅读
原文链接
https://media.bitpipe.com/io_14x/io_142555/item_1707443/everything-you-need-to-know-appsec-policies-veracode-guide1.pdf
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。