協助將貴公司面向公眾的資產和 Web 應用程式風險降至最低的四個問題。
詢問自己這四個問題,協助降低貴公司面向公眾的資產與 Web 應用程式中的網路風險。
網路攻擊在您面向公眾的資產和 Web 應用程式上的持續進攻,並不會停歇;根據 2020 年 Verizon 資料洩漏調查報告 (DBIR) 顯示,43% 的資料洩漏事件都與涉及 Web 應用程式上的攻擊。從最新的自動化攻擊到鎖定特定安全漏洞且資金充裕的老練黑帽駭客,對於惡意行動者而言,現在比過去更容易測試您防禦工事的底線。
保護 Web 應用程式的責任就落在您以及您對攻擊者可能在網路中發現且利用的脆弱環節的瞭解上了。一旦您瞭解情況,就能主動套用相關修補程式、程式碼修正及/或補償管控措施來減緩威脅帶來的風險。
以下每一個問題都提供了不同的角度,讓您檢視貴公司面向公眾的資產和 Web 應用程式的安全風險。
1. 我們公司面向公眾的資產風險為何?
首先,讓我們看看您如何評估面向公眾資產的風險。在理想的情況下,您會希望曝露在外的資產愈少愈好。您可以運用公開風險掃描來驗證您已盡可能將公開能見度降至最低。這種掃描的另一個好處是它也會測試您網路上的補償管控措施,確保它們正常運作。
不過,即使曝露在外的是最簡單的資訊,例如您檔案傳輸通訊協定 (FTP) 伺服器的版本,也可能輕易遭受「Google Hacking」技巧的攻擊。 因此,運用可以對面向公眾的資產設定定期掃描的弱點管理方案,就變得非常重要,如此才能協助您將風險降至最低。 風險掃描的結果可以用來設定您的網路與主機型補償管控措施,以避免曝露任何不當資訊。
2. 我們公司的網路後端存在哪些弱點?
要瞭解網路的脆弱環節,我們建議由您環境中託管的弱點掃描工具或安裝在主機上的代理程式在本地端執行掃描。您環境中的本地端掃描工具使用的經身分驗證掃描可提供最詳盡的結果。要取得這種程度的詳細資訊,您必須提供認證資訊以評估目標。如果有困難,您可以選擇使用代理程式,因為當您準備好要在主機上執行時,它不需要認證資訊。
一旦經過身分驗證的掃描完成,您就會得到完整的弱點清單,對應哪些資產容易遭受攻擊。下一步是瞭解每一個弱點帶來的威脅之背景資訊。瞭解每一個風險目前在真實世界中的風險資訊,有助於讓您根據弱點被利用的可能性來安排修復工作的優先順序,如此您就能更有效地善用珍貴的安全資源。
但現在和過去同樣重要的是對設定和合規問題的警覺性。您想要一套包含稽核某個目標資產的設定是否符合各種合規標準及最佳做法範本的弱點管理解決方案,包括來自網路安全中心 (CIS)、美國國防通訊局安全技術建置指南 (DISA/STIG) 和支付卡產業 (PCI) 標準,以及貴公司本身的內部標準。
3. 我要如何得知我們的 Web 應用程式不會遭受攻擊?
保護您 Web 應用程式免於攻擊最快速也最有效率的方法,就是部署一種自動化的 Web 應用程式掃描方案。舉例來說,動態應用程式安全測試 (DAST) 是一種自動化的滲透測式,能夠以安全的方式與 Web 應用程式互動,並評估應變能力,顯示 Web 應用程式的程式碼中是否有脆弱的環節。
DAST 工具可以比作業系統 (OS) 和應用程式層級的弱點與設定稽核更深入來動態評估 Web 應用程式,它能確保應用程式不易受到非預期性的動作或邏輯瑕疵影響。它也有助於驗證執行中的環境,例如結構化查詢語言(SQL) 溢注,以尋找是否有任何程式碼瑕疵和錯誤設定。此外,另一個要指出的重點就是舊式的 Web 應用程式掃描工具無法跟上現代應用程式。現代的 DAST 工具不只能掃描傳統的 HTML Web 應用程式,也支援使用 HTML5、JavaScript 和 AJAX 框架的動態 Web 應用程式組建,包括單一頁面應用程式。
「Shift Left」是將 Web 應用程式安全性整合進軟體開發生命周期 (SDLC) 中的最佳做法。在導入生產環境前的環境中完全測試您的 Web 應用程式,並且將每一次程式碼變更時的安全掃描自動化,可協助提升貴公司的整體安全態勢。如此可協助您更早發現您 Web 應用程式中的弱點、降低修復這些問題的成本,並且減少入侵造成的可能損害。
4. 我要如何針對 PCI 合規性的規範掃描?
PCI 資料安全標準 (PCI DSS) 包含一項每季執行外部掃描以及由認可的掃描供應商 (ASV) 提供證明的規定 (11.2.2)。您應將公開風險掃描的結果與 ASV 提供的 Web 應用程式掃描解決方案結合,以針對面向公眾的 Web 應用程式和資產提供證明。利用這些掃描的結果,您就能進行取得 11.2.2 要求的合規認證流程,將資訊與任何有利害關係的單位共享。利用預先設定的 PCI 範本和已定義好的爭議解決流程,都能簡化這項工作。
總結
如您所見,並沒有一種萬靈丹能夠評估您面向公眾的資產和 Web 應用程式,以找出網路犯罪帶來的風險。不過,卻有一些最佳做法能協助您瞭解您的風險,並且可將風險降至最低。想瞭解更多資訊,請參閱「5 大 Web 應用程式安全最佳做法」電子書。
深入瞭解
- 閱讀部落格: Web 應用程式安全性: Formula 1™ 一級方程式賽車給我們的三大啟示
- 歡迎參加網路研討會:改善 Web 應用程式安全性的 3 種方法
相關文章
- Passive Network Monitoring
- Penetration Testing
- Risk-based Vulnerability Management
- Security auditing
- Security Policy
- Center for Internet Security (CIS)
- Vulnerability Scanning