四个问题最小化你的面向公众的网络风险资产和Web应用程序

问以下四个问题来减少网络面向公众资产的风险和web应用程序。

网络攻击的不断鼓在你面向公众资产和web应用程序是在短期内不会停止:根据2020年Verizon数据调查报告(DBIR), 43%的数据泄露涉及对web应用程序的攻击。新自动化攻击工具的资金充足复杂的黑帽黑客针对特定的安全漏洞,现在比以往更容易坏的演员来测试你的防御。

确保您的web应用程序可以归结为你和你的理解的弱点,攻击者可能会在您的网络发现和利用。一旦你有了这样的理解,您可以主动申请相关的补丁,修复和/或代码补偿控制减轻威胁。

以下问题提供了不同的镜头通过查看你的面向公众的安全风险资产和web应用程序。

1。我的组织的面向公众资产的风险是什么?

首先,让我们看看如何评估一个面向公众的风险资产。在理想情况下,你想要尽可能少的资产暴露在外面的世界。您可以利用一个公共风险扫描验证你尽可能限制公共可见性。扫描的另一个优点是,它还将测试补偿控制您的网络,以确保它们是可操作的。

不幸的是,即使是最简单的信息暴露在外面的世界,就像你的文件传输协议(FTP)的版本服务器,可以利用简单的“Google黑客”技术。杠杆率是很重要的一个漏洞管理项目建立定期扫描面向公众的资产来帮助你减少风险。风险扫描的结果是最好的用于配置您的网络和基于主机的补偿控制以避免暴露任何不必要的信息。

2。我的网络后端漏洞存在于什么?

了解网络的弱点,我们建议从漏洞扫描器扫描在本地托管在您的环境中或主机上安装一个代理。当地一个扫描仪在您的环境中使用一个经过验证的扫描可以提供最全面的结果。获得这一水平的细节,你需要提供凭证来评估目标。如果这是困难的,你可以选择使用代理,不需要凭证,他们已经运行在主机本身。

验证扫描完成后,你将有一个完整列表的漏洞的资产是敏感的。下一步是了解周围的环境这些漏洞的威胁。理解当前的实际风险信息为每个漏洞可以帮助你更好地优先考虑补救的努力基于可能使用一个漏洞,允许您更有效地利用稀缺的安全资源。

它是同样重要的是要注意的配置和合规问题。你想要一个漏洞管理解决方案,包括审计目标的配置的能力对遵从性标准和最佳实践模板,包括网络安全中心(CIS),国防信息系统局安全技术实现指南(DISA /斯蒂格)和支付卡行业(PCI)的标准,以及你的组织的内部标准。

3所示。我怎么知道我的web应用程序是安全的攻击?

最快和最有效的方法之一,以确保您的web应用程序的攻击是部署一个自动化web应用程序扫描程序。动态应用程序安全性测试(DAST),例如,是一个自动化渗透测试,将与web应用程序在一个安全的交互方式和评估响应显示如果有弱点编码的web应用程序。

DAST工具可以比一个操作系统(OS)和应用程序级脆弱性和配置审计动态评估一个web应用程序。它有助于确保应用程序不容易受到意外的行动,或逻辑缺陷。它还有助于验证运行环境,如结构化查询语言(SQL)注入,找到任何编码或缺陷。同样重要的是要指出,一些遗留web应用程序扫描跟不上现代的应用程序。现代DAST工具不仅可以扫描传统HTML web应用程序,但还支持动态web应用程序使用HTML5, JavaScript和AJAX框架,包括单页面应用程序。

”左移位”是一种最佳实践,将web应用程序安全集成到软件开发生命周期(SDLC)。做完整的测试您的web应用程序在预生产环境中,和自动化安全扫描每次代码更改可以帮助提高你的组织的整体安全态势。这有助于更早暴露弱点在您的web应用程序,降低了解决这些问题的成本,限制了潜在的损害赔偿由于妥协。

4所示。我扫描了PCI遵从性如何?

PCI数据安全标准(DSS)包括一个要求(11.2.2)季度外部扫描和扫描批准供应商提供的认证(ASV)。你应该把公众风险扫描结果与web应用程序扫描解决方案从一个ASV提供认证与公共网络应用和资产。使用这些扫描结果,你可以浏览的过程中获得对11.2.2合规认证要求和任何感兴趣的分享。利用预配置PCI模板和定义的争议过程可以帮助简化这项工作。

总结

你可以告诉,没有银弹评估面临的公共资产和web应用程序来确定网络犯罪的风险。也就是说,有最佳实践可以帮助你理解和最小化风险。了解更多,请查看“前5名的Web应用程序安全实践”的电子书。

了解更多

• 读博客:Web应用程序安全性:3课我们从f1™赛车
• 参加网络研讨会:三种方法可以提高Web应用程序的安全