您好,欢迎来淘码网(www.pptys.com)-源码之家│精品教程|素材中国│商业软件!

淘码网(www.pptys.com)-源码之家│精品教程|素材中国│商业软件

Web应用程序安全最佳实践

  • 时间:2019-04-16 16:39 编辑:dzz 来源: 阅读:386
  • 扫一扫,手机访问
摘要:Web应用程序安全工具和服务在很大程度上得到了普及,这在很大程度上要归功于支付卡行业数据安全标准(PCI DSS)。但是,除了遵守PCI之外,还有更多的Web应用程序安全性。在此视频中,People Security的创始人Hugh Thompson讨论了Web应用程

Web应用程序安全工具和服务在很大程度上得到了普及,这在很大程度上要归功于支付卡行业数据安全标准(PCI DSS)。但是,除了遵守PCI之外,还有更多的Web应用程序安全性。

在此视频中,People Security的创始人Hugh Thompson讨论了Web应用程序安全性最佳实践。了解Web应用程序防火墙等工具如何适应整体安全工作,如何将Web应用程序安全工具定位到客户,以及Web应用程序安全工具如何适应监管环境。

SearchSecurityChannel.com:VAR如何将Web应用防火墙定位到他们的客户,以及他们可以提供哪些类型的服务或附加组件?

Thompson:我认为,当您为客户定位Web应用程序防火墙时,您必须告诉他们这与其应用程序安全性的整体策略相符合。人们倾向于认为应用程序安全性是那些存在灵丹妙药的问题之一; 我可以买一个工具,我可以买一个工艺,我可以买一些能够解决问题的东西。Web应用程序防火墙是抵御安全漏洞和安全风险的整体解决方案的重要组成部分,但它只是解决方案的一部分。

我认为他们应该采取的方式是,“这是一个外围的东西,以保护你免受一些低悬的水果攻击; 我们经常看到的一些非常非常普遍的攻击非常普遍。但是如果你真的希望从你的软件中获得信心,那么你需要将其与围绕安全性的真实软件开发策略结合起来。“

SearchSecurityChannel.com:在应用程序安全方面,VAR应该关注什么?是否有特定的技术或认证可以帮助他们提高技能?

汤普森:从认证的角度来看,我认为一般来说,他们熟悉安全概念很重要。不幸的是,没有一个伟大的会给他们所需要知道的一切。CISSP和它的发展分支都非常有趣,不是因为它们为您提供了能够完成您所询问的工作所需的确切技能,但它们至少可以为您提供有关安全性的广泛视角。帮助灌输健康的偏执狂,这在你谈论安全时是一种宝贵的技能。我认为这肯定有帮助。

从技术角度来看,我认为熟悉安全软件开发过程非常重要。过去几年中已经发布了相当多的流程。我认为非常广泛,非常非常有用,特别是从教育的角度来看,就是看看微软的SDL,即他们的安全开发生命周期。他们获得了许多元素 - 比如威胁建模,源代码扫描,架构安全审查 - 这些元素将真正让您了解客户应该通过软件开发生命周期完成的事情类型。

SearchSecurityChannel.com:用户需要锁定应用程序的原因是什么,或者原因是什么?

汤普森:从监管的角度来看,软件安全性非常有趣。有些法规开始明确解决软件安全问题,PCI就是其中之一。它现在解决它的方式在软件安全领域对我们来说有点过于肤浅,但它已经到了那里; 这是一个生活标准。有明确的迹象表明它在软件安全角度上会更加成熟,所以肯定有来自PCI的驱动程序。其他一些标准相当模糊,甚至像Sarbanes-Oxley这样的标准; 如果你阅读了实际的法律,即使从IT的角度来看,它对你的工作也非常非常模糊。

如果您考虑其所说的含义:信任,流经企业的数据的完整性。除非您支持数据流经的应用程序代码,否则您无法对该完整性进行任何合理的证明。从这个角度来看,软件安全至关重要。我认为,随着我们走上这条道路,您将会看到更多的审计员开始提出与安全相关的问题,因为他们开始重新解释已经存在的一些标准。

SearchSecurityChannel.com:VAR如何向客户出售这一软件安全监管必要性问题?

汤普森:我认为一步就是PCI,只是因为它明确地提出了某种安全要素。不幸的是,PCI,至少现在,引用Web应用程序。这真的很不幸,因为从风险的角度来看,你可能会关注许多,更多的代码,而不仅仅是Web应用程序中的代码; 但这是一个开始。我想我会用它作为未来事物的指标。

如果你看一下PCI在过去三年中的变化,你可以看到一个明确的,明确的,明确的趋势,以更加具体地围绕软件安全性。它绝对不是它应该存在的地方,但当你与人们谈论合规性和软件安全性时,这种趋势是一个有价值的证据,因为它告诉我们整个行业正在发生成熟。如果你看一下商业客户,他们向他们的软件供应商和提供商提出的问题,我们就会开始看到更多与安全相关的问题出现在RFP和RFI等问题上。这只是表明,作为一个行业,我们正在走向成熟; 我们要问好的,有趣的,重要的问题。他们应该真正担心的可能不仅仅是合规; 甚至可能会向他们的客户进行销售。

SearchSecurityChannel.com:VAR应关注哪些特定的Web应用程序安全攻击?

Thompson: OWASP Top-10的起点是,但同样,这并不是可以对企业利用的所有可能的攻击。如果你正在与一个软件安全方面的新人谈话 - 他们可能是一个在内部构建应用程序的团队; 例如,他们可能是CTO办公室的一部分 - 我认为至少向他们表达这些漏洞的后果是很重要的。我敢肯定,大多数人都听说过SQL注入,跨站点脚本,缓冲区溢出,但很少有人从风险角度内化了这些内容。

作为VAR,我认为从风险角度考虑这些漏洞并使其具体化,以及正在查看其服务的人员,这一点非常重要。把它绑在他们的业务上; 向他们展示潜力是什么,而不是从恐惧,不确定和怀疑的角度来看,而是从现实的角度来看。我还会收集一些我们在过去几年中看到过的攻击数据。如果您的目标是保护业务,那么这些数据真的非常吸引人并且非常令人担忧。




  • 全部评论(0)
资讯详情页最新发布上方横幅
最新发布的资讯信息
【IT技术|】Navicat永久试用的终极解决办法不报毒(2019-07-01 09:25)
【IT技术|】2019什么最挣钱?我帮你(2019-05-19 22:55)
【IT技术|】10步解决你git提交描述写不清楚的烦恼(2019-04-16 17:29)
【IT技术|】随着微软在Windows和硬件刷新之间建立联系,PC行业受到了影响(2019-04-16 17:22)
【IT技术|】谷歌云合作伙伴引用Anthos作为关键的Next '19技术(2019-04-16 17:16)
【IT技术|】IBM Marketplace中的Veritas NetBackup显示BaaS正在崛起(2019-04-16 17:12)
【淘码教程|】Blue Hexagon在网络安全方面深入学习AI(2019-04-16 17:07)
【IT技术|】Web应用程序安全最佳实践(2019-04-16 16:39)
【IT技术|】什么才是IT最受欢迎的技能(2019-04-16 15:46)
【IT技术|】java JSoup如何抓取复杂结构数据(2019-04-16 15:24)
网站首页 | 关于我们 | 广告合作 | 联系我们 | 隐私条款 | 免责声明
CopyRight 2014-2024 淘码网(www.pptys.com)-源码之家│精品教程|素材中国│商业软件 | 晋ICP备16003665号-2
联系客服
淘码网 联系客服
18636644955
手机版

扫一扫进手机版
返回顶部