Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

Web 應用程式安全性: Formula 1™ 一級方程式賽車給我們的三大啟示 

Cindy Chen
2021 年 10 月 5 日 • 4 分鐘快讀
作者: Cindy Chen 
部落格首頁 / 新聞與觀點

Web 應用程式安全不只是最佳做法 — 也是企業資安計畫中極為重要的一部分。 瞭解搜尋及測試 Web 應用程式如何讓您在對付攻擊者時技高一籌。

Web 應用程式長期以來一直是輔助電子商務和重要業務措施的關鍵要角。 既然如此,為何有這麼多企業無法保障它們的安全呢?

近期有個稱為 PunkSpider 的工具引發熱議,它號稱可以深入整個網路、找出網站中可利用的弱點並將這些弱點公諸於世,讓大家都能找到這些弱點。

如果大家都在測試貴公司的網站和 Web 應用程式,難道您不應該瞭解有哪些資料遭到外洩嗎? 您必須在別人搜尋及測試貴公司的 Web 應用程式、找出其弱點之前搶先一步這麼做,這樣有助於您縮短停機時間、獲得最高營利並贏得貴公司營業有成所需的競爭優勢。

那些 Formula 1™ 一級方程式賽車教會我們有關 Web 應用程式安全的事

現在,假設貴公司的 Web 應用程式是 Formula 1™ 一級方程式賽車,研發人員是賽車手,而資安團隊是維修站技師。 賽車手在意的是車輛的效能和速度,維修站技師則想要確保車輛安全無虞、保養得當且無絲毫弱點。 如果賽車表現出色,整個車隊不只能營利,觀眾也會增加。 如同這些車輛一般,當公司的電子商務網站表現優異時,就能創造營收。 但如果發生資料外洩或暫停營運的情況,公司就會虧損,聲譽也會受到影響。

那麼...Formula 1 一級方程式賽車給了我們哪些啟示?

1: 將能見度視為首要之務

能見度是 Formula 1 一級方程式車隊的成敗關鍵。 F1 賽車手透過無線電與維修站技師隨時保持聯絡,清楚觀看整場車賽,包括車道狀況、車道的轉彎和邊角以及車道上的所有車輛。 

企業的 Web 應用程式就像 Formula 1 一級方程式賽車一樣 — 在動態環境中疾速往前奔馳。 很遺憾,企業的資安團隊往往不見得知道公司內的其他業務單位正在開發的所有網站和 Web 應用程式。例如員工代表公司使用的未經授權第三方 Web 應用程式,還有一些可能形成資安漏洞的淘汰及過時 Web 應用程式等。瞭解貴公司有哪些 Web 應用程式 (無論是內部、開放原始碼或第三方開發的應用程式),是保護這些應用程式首重的第一步。

2: 提高維修站技師效率

Formula 1 一級方程式賽車車隊的團隊合作、效率與保持車輛以最高效能安全行駛的能力皆遠近馳名。比賽進行的過程中,維修站技師必須施展渾身解數,舉凡補充賽車油料以及更換車胎等動作,平均都必須在三秒鐘內完成。如此神乎其技的速度,不禁令人納悶:為什麼我們的車輛平時送廠維修不能這麼有效率呢?

同理,如果將研發人員比喻成賽車手,那麼資安團隊就好比是維修站技師。研發人員在意 Web 應用程式的效能和速度,而且往往會擔心過多的安全作業流程會妨礙這些 Web 應用程式的敏捷度。資安從業人員必須引導、協助和支援研發人員盡其所能地建立安全的程式碼。全體團隊的目標是確保 Web 應用程式在發揮極佳效能與速度的同時,仍保有良好的網路安全機制並加強安全態勢。

3: 必須進行熱身賽

在正式開賽前,賽車手會進行熱身賽或繞車道幾圈,以便對車道做最後的檢查、暖胎並確保車輛已經充分做好競賽的準備。

賽車手換檔有如資安主管的「提早執行」測試。傳統上提交一份靜態的弱點報告給企業 DevOps 團隊的資安做法已無法因應現今動態企業環境的需求。及早將 Web 應用程式掃描工具與軟體開發生命週期 (SDLC) 中的研發、測試和/或 QA 等階段整合在一起,就好比賽車的熱身賽,可以藉此看出安全弱點、減少修復這些問題的成本並降低因資料外洩造成的危險。Gartner 的研究顯示,到了 2023 年會有超過 70% 的企業將開放原始碼元件與商用套裝軟體的自動化安全弱點與設定掃描納入 DevSecOps 計畫中,這與 2019 年不到 30% 的比例相較而言呈現大幅增長*。每次的應用程式安全掃描皆採自動化作業 (無論是應用程式正式上線前還是程式碼變動時),這也是我們建議企業為強化安全態勢採取的最佳做法。

預備、就位,開始!

既然您已做好比賽的萬全準備,不妨讓資安團隊與 DevOps 團隊聯手合作,集結安全掃描與 SDLC 的力量。

*資料來源: Gartner 研究報告「DevSecOps 取得成功的 12 個重點」,撰文者:Neil MacDonald 與 Dale Gardner;最近一次更新時間:2021 年 4 月 9 日。

GARTNER 是 Gartner, Inc. 及/或其附屬公司在美國和全球的註冊商標和服務標誌,特此經許可使用。 保留所有權利。

深入瞭解

Cindy Chen

Cindy Chen

Cindy Chen 在網路安全產業擁有 10 年以上的豐富經驗。她是 Tenable 雲端安全解方案的團隊成員之一。Cindy 樂於分享最佳做法,協助企業判別弱點、保護營運關鍵資料、並提升其整體安全態勢。她擁有美國加州聖塔克拉拉大學 (Santa Clara University) 企業管理碩士學位及美國威斯康辛大學麥迪遜分校 (University of Wisconsin – Madison) 電腦工程學士學位。

相關文章

Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD

April 26, 2024

Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!

Juan Perez

Juan Perez

Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security

April 19, 2024

Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!

Juan Perez

Juan Perez

Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action

April 12, 2024

Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!

Juan Perez

Juan Perez

Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD

April 26, 2024

Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!

Juan Perez

Juan Perez

CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor

April 25, 2024

Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.

Satnam Narang

Satnam Narang

CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited

April 23, 2024

A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.

Satnam Narang

Satnam Narang

  • Cloud
  • Executive Management
  • DevOps
  • BYOD
  • Risk-based Vulnerability Management
  • Vulnerability Management
  • Vulnerability Scanning

您可以使用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

免費試用 立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 立即購買

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

立即購買
續約既有授權 | 尋找經銷商
免費試用 立即購買

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練

立即購買
續約既有授權 | 尋找經銷商