應用安全技術趨勢之 Top 5

而今，大多數應用都依賴於像入侵防禦系統（Instrusion Prevention System）和 Web 應用防火牆（Web Application Firewall，如下全文簡稱 WAF）這樣的外部防禦。然而，許多這類安全功能均可之內置到應用程序中，實現應用程序運行的自我保護。

1. 實時應用自我保護

實時應用自我保護（如下全文簡稱 RASP），是一個應用程序運行時環境的組成部分，它能夠實現爲 Java 調試界面的擴展。RASP 能夠檢測到應用程序在運行時試圖往內存中寫入大量數據的行爲，或者是否存在未經受權的數據庫訪問。同時，它具備實時終止會話、和發出告警等功能。WAF 和 RASP 的合做相輔相成，WAF 能夠檢測到潛在的攻擊，而 RASP 能夠經過研究應用內部的實際響應數據來驗證潛在的攻擊是否具備威脅性。

毋庸置疑，內置於應用程序的RASP，比那些只能獲取 App 有限的內部進程信息的外接設備更增強大。

2. 協同安全智能

說到協同安全智能，筆者認爲協同安全的意義是不一樣應用安全技術間的協做或集成。

動態應用程序安全測試（如下全文簡稱 DAST） + 靜態應用程序安全測試（如下全文簡稱 SAST）：DAST 不須要訪問代碼而且易於實現。另外一方面，SAST 須要訪問代碼，可是對應用程序的內部邏輯瞭解更爲深刻。這兩種測試技術各有利弊，可是兩種測試結果的關聯和結合，能極大提升安全測試的價值：即他們不只能夠下降誤報率，也能夠發現更多安全漏洞，從而提升測試效率。

SAST + DAST + WAF（即靜態 + 動態應用程序安全測試 + Web 應用防火牆）：這個組合能夠把 SAST 或 DAST 技術檢測到的安全漏洞提供給 WAF 做爲輸入信息。這些漏洞信息能夠用來建立特定的規則集，從而 WAF 甚至能夠在修復方案實施以前制止漏洞帶來的攻擊。

SAST + DAST + SIM / SIEM（安全事故管理/安全事故事件管理，如下全文對應簡稱 SIM 或 SIEM）：經過 SAST 或 DAST 檢測到的漏洞信息對於 SIM 或 SIEM 的關聯引擎是很是有價值的。這些漏洞信息能夠提供更加準確的漏洞關聯信息和攻擊監測。

WAF + RASP（即 Web 應用防火牆 + 實時應用自我保護）：WAF 和 RASP 的做用是互補的。WAF 提供的信息可由 RASP 驗證，從而幫助提供更精確的偵測信息，並預防攻擊。

「大一統」：最後終有一天，以上說起的全部檢測手段，甚至更多手段，均可以組合在一塊兒供企業使用，實現「真·安全智能體系」。

3. 混合的應用程序安全測試

筆者認爲，這裏「混合」的意思是用一種結合自動和人工測試的方式「超越安全顧問們能夠作到的極限」，以此實現更高的擴展性、更準確的可預測性和更高的成本效益。

DAST 和 SAST，二者都有自身的侷限性。其中，兩個主要的問題是誤報率和業務邏輯測試。網絡測試只需在一段已知的代碼中發現已知的漏洞，然而和網絡測試不一樣的是，應用程序測試面對的是未知代碼。這使得漏洞偵測模式變得很是不一樣，更加難以實現自動化測試。因此，你只好從安全諮詢人員或內部安全專家處得到最好的解決方案。然而，這種模式不具有可擴展性。好比，世界上有超過十億個應用程序等待測試，在這種狀況下，地球上並無足夠多的專家進行測試。

其實，這不是一個關於「人類 vs. 機器」的問題，而是關於「人類和機器」的問題。將來的趨勢是自動化和人工驗證的智慧結合。iViZ 是一個有趣的實例，他們使用的是自動化技術，同時結合了「自動化工做流程」進行人工檢查，從而保證零誤報率，且業務邏輯測試達到 100% 的WASC 類覆蓋率。事實上，iViZ 收費固定，而且提供無限制的應用程序安全測試服務，而其邊際利率高於市面上其餘 SaaS 企業的平均水平。

4. 應用程序安全做爲服務

筆者相信「服務化 -aaS」模型的理由很簡單：咱們之因此須要技術並非爲了技術，而是爲了解決問題。換句話說，咱們須要的是解決方案和服務。隨着人們愈來愈注重「核心競爭力」，你們感到獲取服務比購買產品更有意義，「幫你搞定」比「你本身動手」更有意義（固然，也會有些例外）。

如今咱們有 SASTaas、DASTaaS 和 WAFaaS。幾乎全部事情均可以服務化。事實上，Gartner 已經爲「應用程序安全即服務」建立了單獨的技術成熟度曲線。

應用程序安全做爲服務有許多好處：下降固定運營成本，幫助專一於核心競爭力，解決人才獲取和留存的問題，下降運營管理費用等更多的益處。

5. 安全產品開發生命週期（SDLC）以外：在安全線程上集成開發和運維

如今，是時候考慮安全產品開發生命週期之後的問題了。曾幾什麼時候，咱們看到許多力量都在推進安全和軟件開發生命週期的結合，筆者相信，這個行業已經取得了一些不錯的進展。將來的趨勢還是這樣，可是是從結合「安全 + 開發 + 運維」的角度去作。設計、開發、測試直到生產、管理、維護和運維，這一整條線索，應該無縫地與重中之重——即安全，密切結合。現今，開發與運維之間仍有一條「安全之路」要走，然而這條「路」將隨安全生命週期的日趨集成化而漸漸模糊。

原文地址：http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss

現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客。
本文轉自 OneAPM 官方博客