2020年7月29日
2020年7月29日
贡献:玛纳斯Sakpal
安全测试是应用程序开发中一个昂贵但又必不可少的部分。使用这七个技巧,CISOs可以确保对其企业应用程序进行最大限度的风险评估和风险准备。
2020年5月,一款智能手机来电识别应用报告了一次安全漏洞,超过4750万用户的个人数据暴露。这只是2020年导致数据暴露并造成漏洞的众多实例之一。从医疗机构到科技、软件、社交媒体和外卖公司,网络犯罪分子瞄准了每一个行业,窃取了数十亿份记录。
与此同时,减少IT预算意味着首席信息安全官(CISOs)必须削减成本,并在风险管理项目上做出妥协。预算削减的重点领域之一是应用程序安全测试,这是整个过程中一个昂贵但必不可少的部分。
阅读更多:安全与风险领导者如何应对预算削减
“安全测试有助于在应用程序开发过程的早期识别漏洞,”说马克霍, Gartner的高级总监分析师。“但是,综合信息系统组织很难证明成本是合理的应用程序安全测试。在这一步上妥协可能会产生严重的影响,重要的是不能跳过这一步。”
与普遍的看法相反,应用安全测试并不总是需要大量投资。CISOs可以考虑这7个技巧来有效地进行安全测试,而不会给他们的预算带来压力。
早期测试将修复软件缺陷的成本降至最低。在开发的早期阶段包括安全专家有助于识别安全方面的差距并补救风险。如果在一开始就减轻威胁,组织可以避免重构和补救工作。
威胁建模是一项昂贵的工作,但在许多情况下可以在内部使用免费下载的软件完成。这并不局限于新的应用程序,也可以扩展到现有的软件。特别是当现有软件被重新使用或作为web服务公开时,对应用程序可能受到攻击的风险和场景的结构化评估为创建测试用例提供了机会。
在预算限制是安全测试的一大障碍的情况下,CISOs可以从负担得起的开源选项中受益。虽然这些备选方案在语言、框架和漏洞覆盖以及功能方面通常是不完整的,但通过适当的定制和插件,它们可以用最少的资源实现有效的应用程序安全程序。
这款免费软件没有提供仪表盘、全面报告、分布式扫描传感器或集成到软件开发生命周期中的插件等企业功能。然而,内部专家可以通过编写自己的脚本来填补这一空白,或者可以在需要的地方手动操作工具。
让开发人员参与到测试过程中,这样一旦他们了解了可能的威胁,就可以生成高质量的代码。Horvath说:“指定一名开发人员跟踪pentester或应用程序安全测试服务,或者让开发人员管理程序。”
高德纳(Gartner)的研究表明,开发这类程序的人员更容易出现明显较少的安全错误。这些开发人员还可以充当主题专家或安全拥护者,并在未来为团队更快地识别问题。
除了让开发人员参与测试之外,CISOs还可以为开发人员引入大量的“道德黑客”在线课程。这可以使开发人员了解保护应用程序的世界观以及攻击者是如何操作的。
随着程序的成熟,随着新的编码风格和新技术的引入,漏洞也在演变。CISOs需要为此计划,安排对实际安全技术的定期评估。
例如,Horvath说:“如果你有一个应用程序,它大部分时间都处于维护模式,需要做一些表面上的改变,那么就把资源从代码扫描转移到pentest。”
周期性测试被错误地认为是一个消耗成本的过程。然而,每半年或每季度重新评估优先级可以优化资源,并确保开发和安全团队熟悉所有的工具。
Gartner的研究表明,安全测试人员发现的威胁数量在5周内逐渐减少,在运行代码8周后显著下降。这并不意味着威胁已经减少。因为测试人员要多次查看代码,所以会产生疲劳。这可能是代码或软件的关键部分的问题,特别是当代码的全部功能可能不总是被测试或执行的时候。
将代码测试引入新的视角可以帮助识别那些从事软件工作太久的人可能忽略的漏洞。
准备不足在测试环境中并不新鲜。通常,当顾问来开始测试时,他们没有得到充分的介绍,也没有为所要求的各种测试做好准备。这导致了测试的延迟,更不准确的结果,以及开发团队和渗透测试人员更低的生产力。
通过与供应商会面,讨论您想要进行的测试的类型和规模,提前为测试做准备,并预先选择在您的整体测试覆盖范围中确定为空白的代码、基础设施和过程领域。使用外部测试人员来发现业务逻辑错误,而不是内部测试可以发现的更“容易摘的果实”类型的问题。
在DevOps组织中,向一小部分人推出测试更改是一种常见的实践。由于这些测试是在受控环境中执行的,因此降低了将整个组织暴露于威胁的风险。CISOs可以计划在正常工作时间的休息时间(如周末和节假日)进行金丝雀或A/B测试。另一个选择是为安全测试设置并行环境。
“作为安全漏洞出现的问题通常是糟糕的代码开发的产物。通过使用这些安全测试技巧,组织可以为他们的应用程序的安全性创建一个健壮的框架,”Horvath说。
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
建立应用程序安全程序的7个技巧,马克·霍瓦特等人著。
*注意,有些文档可能不是所有Gartner客户都可以使用的。