|
|
|
|
|
|
来源: 发布日期:2019.08.05 点击量:
近年来应用安全风险层出不穷,常见的有注入、失效的身份验证等,当不法攻击者利用风险漏洞成功入侵企业应用系统后会造成不可估量的影响。据阿里云2019上半年web应用安全报告显示,今年上半年,web攻击整体呈递增趋势,其中,5月拦截攻击超过19亿,6月拦截攻击突破20亿。传统的应用安全检测工具如代码审计工具、WEB扫描工具已无法全面客观地发现风险并进行立体分析。
企业要从根本上解决应用安全问题,应该建立应用安全度量指标体系,实时监测应用安全风险,提前预警风险变化,做到事前控制。银监会在发布的《商业银行操作风险管理指引》中,将度量指标定义为“代表某一风险领域变化情况并可定期监控的统计指标”。应用安全度量指标可用于监测应用系统开发过程中以及系统上线后发现的各项风险及控制措施,并作为反映风险变化情况的早期预警指标,开发团队以及安全团队可根据预警信息及早采取措施,提升开发安全质量,防范应用及系统安全风险。建立完善的应用安全风险度量指标可以为企业全面风险管理实施提供切实的支持,提高风险监控的及时性,提高经营决策的前瞻性,提升风险视图的宏观性。
建立应用安全度量指标体系需首先从调研开始,深入了解企业应用安全现状,识别关键风险领域并对威胁进行建模,其次开展整体架构及指标框架设计,在对指标进行评估和筛选之后,设定阈值和检测方式,再次设计算法和展示分析工具,同步编写工作规范,最后试点验证应用安全度量指标体系并持续改进。
在进行应用安全度量指标设计时,不仅要从问题的来源、级别、发现方式和发现阶段考虑,还应基于项目组进行横向比对。
安言咨询设计整体框架时,参考SDL(安全开发生命周期)标准,关注软件开发从需求分析直至系统持续运行的各个阶段,从缺陷信息、运行反馈、项目组统计信息等多方面入手开展度量。除传统的SDL模式外,也可根据用户方需求,针对敏捷开发模式进行定制化度量指标体系设计,确保软件开发安全度量指标体系适应各行业各类型用户,帮助用户有效防范软件安全开发风险,将风险消灭于系统上线之前。
在过去十多年咨询服务经验中,安言咨询总结了以下几点以供参考:
1.应用开发过程中各类数据应尽量完整、高质量、易于采集,至少保证数据准确;
2.应用安全度量仅从提升代码和测试质量的目标去考虑十分片面,安全开发是一个体系,需将应用系统安全等级设定、安全需求匹配、安全构件库建设等都考虑在内;
3.除设定阈值外,与客户方密切沟通、深入挖掘现有数据同样重要,大多数情况下单纯的数据无法直观体现问题,用适当的图表来展现,能够发现更多问题(例如缺陷在特定阶段出现过多、某阶段某类缺陷大批量出现等)。
4.要做好应用安全风险度量,需所有相关部门通力协作,只靠安全团队自己闭门造车是远远不够的。
更多关于应用安全风险度量的相关内容或业务需求请持续关注我们。
详情请咨询:
电话:021-62101209/17721199231
邮箱:mkt@aryasec.com
相关新闻:
