再者就是建议所有的web应用软件应当进行及时的维护,以确保管理系统能够获得连续的监测和漏洞补丁。
也许有人会有疑问,漏洞扫描不是可以监测到系统漏洞吗?但是当web应用程序长时间被用户使用时,漏洞扫描并不足以应付所有情况。最好的办法是建立一个24×7的漏洞监测机制,用手动或者混合安全测试来补充监测无法扫描到的漏洞。
建立一个web应用防火墙也是个好主意。但是WAF的主要目的是阻止一些简单的或者自动攻击,而对于专业黑客以及一些先进的脚本攻击则显得无能为力。
安全软件开发生命周期也是个办法
想要缓解更复杂的安全风险,实施安全软件开发生命周期(S-SDLC)是个办法。但是在敏捷开发和外包的时代,安全软件开发生命周期也不能解决全部问题。但如果有机会或者条件部署并进行妥善维护时,这会是非常有效的一种办法。
此外,经常对web开发人员进行安全培训是一种有效的方法。而如果软件开发采用的是外包,那么请务必记住要引入强制性的安全软件开发资质条件。
风险转移
网络攻击风险可以转移?没错,而且这正在兴起一股非常大的市场。
根据普华永道所推出的一份报告看,全球网络保险市场将在2020年达到75亿美元,而今年这一市场也有25亿美元的规模。在你无法确定自己的web应用程序何时会被攻击,会导致怎样的风险时,买份保险吧。
网络风险保险也有风险
网络保险是个好主意,但是请记住,网络安全保险市场并不成熟,因此很多时候可能面对的结果是我们无法预测的。而且据国外专家所说,当今世界已经没有空间可以提供单因素的保护了。
企业面对风险更为有效的转移方式,应该采用纵深防御战略,采用强大的分层安全措施。以网站的安全来看,应当以连续的自动漏洞扫描监测网站和其相应的基础设施,但另外也应该有其他的安全编码保障系统开发声明周期各个阶段的安全。
给web应用软件加道墙吧
此外,应当建立可以主动防御、保护web应用程序的防火墙。最理想的状态应当将一切加入定期的人工渗透测试,全方位保障web应用安全。
总结下来,面对web应用的风险,逃避和接受都是不可能解决问题的。适当的风险缓解措施,必要的风险转移活动,这样才能最大限度保障web应用的安全。
