Web 應用程式安全性: Formula 1™ 一級方程式賽車給我們的三大啟示
Web 應用程式安全不只是最佳做法 — 也是企業資安計畫中極為重要的一部分。 瞭解搜尋及測試 Web 應用程式如何讓您在對付攻擊者時技高一籌。
Web 應用程式長期以來一直是輔助電子商務和重要業務措施的關鍵要角。 既然如此,為何有這麼多企業無法保障它們的安全呢?
近期有個稱為 PunkSpider 的工具引發熱議,它號稱可以深入整個網路、找出網站中可利用的弱點並將這些弱點公諸於世,讓大家都能找到這些弱點。
如果大家都在測試貴公司的網站和 Web 應用程式,難道您不應該瞭解有哪些資料遭到外洩嗎? 您必須在別人搜尋及測試貴公司的 Web 應用程式、找出其弱點之前搶先一步這麼做,這樣有助於您縮短停機時間、獲得最高營利並贏得貴公司營業有成所需的競爭優勢。
那些 Formula 1™ 一級方程式賽車教會我們有關 Web 應用程式安全的事
現在,假設貴公司的 Web 應用程式是 Formula 1™ 一級方程式賽車,研發人員是賽車手,而資安團隊是維修站技師。 賽車手在意的是車輛的效能和速度,維修站技師則想要確保車輛安全無虞、保養得當且無絲毫弱點。 如果賽車表現出色,整個車隊不只能營利,觀眾也會增加。 如同這些車輛一般,當公司的電子商務網站表現優異時,就能創造營收。 但如果發生資料外洩或暫停營運的情況,公司就會虧損,聲譽也會受到影響。
那麼...Formula 1 一級方程式賽車給了我們哪些啟示?
1: 將能見度視為首要之務
能見度是 Formula 1 一級方程式車隊的成敗關鍵。 F1 賽車手透過無線電與維修站技師隨時保持聯絡,清楚觀看整場車賽,包括車道狀況、車道的轉彎和邊角以及車道上的所有車輛。
企業的 Web 應用程式就像 Formula 1 一級方程式賽車一樣 — 在動態環境中疾速往前奔馳。 很遺憾,企業的資安團隊往往不見得知道公司內的其他業務單位正在開發的所有網站和 Web 應用程式。例如員工代表公司使用的未經授權第三方 Web 應用程式,還有一些可能形成資安漏洞的淘汰及過時 Web 應用程式等。瞭解貴公司有哪些 Web 應用程式 (無論是內部、開放原始碼或第三方開發的應用程式),是保護這些應用程式首重的第一步。
2: 提高維修站技師效率
Formula 1 一級方程式賽車車隊的團隊合作、效率與保持車輛以最高效能安全行駛的能力皆遠近馳名。比賽進行的過程中,維修站技師必須施展渾身解數,舉凡補充賽車油料以及更換車胎等動作,平均都必須在三秒鐘內完成。如此神乎其技的速度,不禁令人納悶:為什麼我們的車輛平時送廠維修不能這麼有效率呢?
同理,如果將研發人員比喻成賽車手,那麼資安團隊就好比是維修站技師。研發人員在意 Web 應用程式的效能和速度,而且往往會擔心過多的安全作業流程會妨礙這些 Web 應用程式的敏捷度。資安從業人員必須引導、協助和支援研發人員盡其所能地建立安全的程式碼。全體團隊的目標是確保 Web 應用程式在發揮極佳效能與速度的同時,仍保有良好的網路安全機制並加強安全態勢。
3: 必須進行熱身賽
在正式開賽前,賽車手會進行熱身賽或繞車道幾圈,以便對車道做最後的檢查、暖胎並確保車輛已經充分做好競賽的準備。
賽車手換檔有如資安主管的「提早執行」測試。傳統上提交一份靜態的弱點報告給企業 DevOps 團隊的資安做法已無法因應現今動態企業環境的需求。及早將 Web 應用程式掃描工具與軟體開發生命週期 (SDLC) 中的研發、測試和/或 QA 等階段整合在一起,就好比賽車的熱身賽,可以藉此看出安全弱點、減少修復這些問題的成本並降低因資料外洩造成的危險。Gartner 的研究顯示,到了 2023 年會有超過 70% 的企業將開放原始碼元件與商用套裝軟體的自動化安全弱點與設定掃描納入 DevSecOps 計畫中,這與 2019 年不到 30% 的比例相較而言呈現大幅增長*。每次的應用程式安全掃描皆採自動化作業 (無論是應用程式正式上線前還是程式碼變動時),這也是我們建議企業為強化安全態勢採取的最佳做法。
預備、就位,開始!
既然您已做好比賽的萬全準備,不妨讓資安團隊與 DevOps 團隊聯手合作,集結安全掃描與 SDLC 的力量。
*資料來源: Gartner 研究報告「DevSecOps 取得成功的 12 個重點」,撰文者:Neil MacDonald 與 Dale Gardner;最近一次更新時間:2021 年 4 月 9 日。
GARTNER 是 Gartner, Inc. 及/或其附屬公司在美國和全球的註冊商標和服務標誌,特此經許可使用。 保留所有權利。
深入瞭解
相關文章
Cybersecurity Snapshot: How To Boost Customers' Trust in Your Digital Services
May 12, 2023Check out how beefing up digital trust in your technology yields key business benefits. Plus, a sophisticated cyber espionage operation has been defused. Also, why cyberattack victims should speak up. In addition, don’t miss our poll on mobile device security. And much more!
The Role of Open Source in Cloud Security: A Case Study with Terrascan by Tenable
May 11, 2023Open source software and cloud-native infrastructure are inextricably linked and can play a key role in helping to manage security. Open source security tools like Terrascan by Tenable are easy to scale, cost-effective and benefit from an agile community of contributors. Let’s take a look at how you can implement it today.
Cybersecurity Snapshot: CSA Offers Guidance on How To Use ChatGPT Securely in Your Org
May 5, 2023Check out the Cloud Security Alliance’s white paper on ChatGPT for cyber pros. Plus, the White House’s latest efforts to promote responsible AI. Also, have you thought about vulnerability management for AI systems? In addition, the “godfather of AI” sounds the alarm on AI dangers. And much more!
Tenable Cyber Watch: White House Unveils $140M Investment for Responsible AI, Top 5 Malware in Q1 2023, and more
May 15, 2023This week’s edition of the Tenable Cyber Watch unpacks the White House’s $140 million dollar investment into AI research and development and explores the security implications of ChatGPT. Also covered: The top 5 malware strains for Q1 2023.
Cybersecurity Snapshot: How To Boost Customers' Trust in Your Digital Services
May 12, 2023Check out how beefing up digital trust in your technology yields key business benefits. Plus, a sophisticated cyber espionage operation has been defused. Also, why cyberattack victims should speak up. In addition, don’t miss our poll on mobile device security. And much more!
The Role of Open Source in Cloud Security: A Case Study with Terrascan by Tenable
May 11, 2023Open source software and cloud-native infrastructure are inextricably linked and can play a key role in helping to manage security. Open source security tools like Terrascan by Tenable are easy to scale, cost-effective and benefit from an agile community of contributors. Let’s take a look at how you can implement it today.
- 雲端
- 高階管理團隊
- DevOps
- 自攜裝置 (BYOD)
- 風險型弱點管理
- 弱點管理
- 弱點掃描
