一种创新型敏感数据安全技术:互动式应用安全测试(IAST)
未授权敏感数据访问亦称敏感数据泄露,是个连Instagram和亚马逊等以软件安全著称的大品牌都未能幸免的普遍性问题。敏感数据包括银行账户信息等金融数据、个人可识别信息(PII)和受保护的医疗信息(比如与个人健康状态、医疗服务条款或费用等相关的信息)。
如果发生敏感数据泄露,公司企业应通告监管部门以披露该数据泄露事件。比如说,GDPR规定,发生数据泄露的公司应在发现后72小时内予以披露。此类事件可对公司品牌造成很大伤害,损伤客户信任以致业务丧失,还会让公司面临监管处罚和泄露事件调查的额外开销。数据泄露甚至有可能将公司拖入司法诉讼的漩涡。总之,敏感数据泄露对公司未来的影响不可估量。全球已出台多项监管规定对敏感数据保护的重要性加以强调。那么,为什么此类事件还是层出不穷呢?
虽然我们大多只听说新闻报道的大公司数据泄露事件,但并非只有大公司才面临数据泄露的风险。事实上,中小企业的敏感数据泄露问题也不小。攻击者对中小企业下手的回报可能没有对大公司的大,但小企业也不太可能具备能够检测、预防和缓解安全漏洞的策略。
为避免敏感数据泄露,无论是大公司还是中小企业都需要关注网络安全。公司企业通常都会打造自己的应用程序,并几乎总是依赖已有应用运营自己的业务。
如果你构建有自己的应用,请经常测试其安全性。而使用互动式应用安全测试(IAST),就可以在功能测试的同时执行应用安全测试,无需聘用专家进行漏洞评估。
IAST解决方案有助于公司企业用动态测试(亦称运行时测试)技术发现并管理与Web应用运行时发现的漏洞相关的安全风险。IAST通过软件工具监视应用运行情况,收集应用执行方式与操作内容的信息。
考虑到84%的网络攻击都发生在应用层,最好对与公司应用相关的数据做个清单,围绕这些数据制定相关策略。比如说,数据保存期有多长,要存储哪些类型的数据,谁能访问数据等等。不要保存公司业务用不到的数据。信息保存时间够用就行,不要太长。数据应设有授权和访问控制措施。口令需恰当防护。员工也应接受数据处理及保护的相关培训。
建议公司企业为自身应用处理的数据建立清单很容易,但具体操作起来很是费工。从哪儿入手都是个伤脑筋的问题。
IAST不仅能发现漏洞,还能同时加以验证。采用传统应用安全测试工具时,高误报率是个常见问题。IAST技术的验证引擎可帮公司企业理清该优先处理哪些漏洞并最小化误报。
Web应用中的敏感数据可通过IAST监测,为数据泄露问题提供恰当的解决方案。IAST监视的应用行为包括代码、内存和数据流,可以确定敏感数据的流向,检测数据是否以未受保护方式写入文件,是否暴露在URL中,是否经过恰当加密。只要敏感数据处理不恰当,IAST工具就会标记该数据处理实例。使用IAST工具无需人工搜索敏感数据,其工具智能可代替应用拥有者执行该操作——应用拥有者还可以修改规则精校自己的目标。
需要指出的是,应用由多个组件构成:第三方组件、专利代码和开源组件。应用程序就像乐高积木一样,其中每一块(或几块)都有可能出问题。所以,测试应用的时候,必须全面测试这三类组件。
云迁移的影响也是不能不考虑的一个方面。随着云采纳的增长,越来越多的敏感数据存储在企业网络边界之外。这就增加了企业的风险和攻击界面。同时增加的还有监管压力和在最短时间内以更少的资源交付更多功能的需求。这种情况下,IAST便成了应用安全、敏感数据泄露和安全事件预防测试的最优选项。
相关阅读