一种创新型敏感数据安全技术:互动式应用安全测试(IAST)

栏目: 编程工具 · 发布时间: 5年前

内容简介:未授权敏感数据访问亦称敏感数据泄露,是个连Instagram和亚马逊等以软件安全著称的大品牌都未能幸免的普遍性问题。敏感数据包括银行账户信息等金融数据、个人可识别信息(PII)和受保护的医疗信息(比如与个人健康状态、医疗服务条款或费用等相关的信息)。如果发生敏感数据泄露,公司企业应通告监管部门以披露该数据泄露事件。比如说,GDPR规定,发生数据泄露的公司应在发现后72小时内予以披露。此类事件可对公司品牌造成很大伤害,损伤客户信任以致业务丧失,还会让公司面临监管处罚和泄露事件调查的额外开销。数据泄露甚至有可能

未授权敏感数据访问亦称敏感数据泄露,是个连Instagram和亚马逊等以软件安全著称的大品牌都未能幸免的普遍性问题。敏感数据包括银行账户信息等金融数据、个人可识别信息(PII)和受保护的医疗信息(比如与个人健康状态、医疗服务条款或费用等相关的信息)。

一种创新型敏感数据安全技术:互动式应用安全测试(IAST)

Space Invader made of cargo containers in a harbor

如果发生敏感数据泄露,公司企业应通告监管部门以披露该数据泄露事件。比如说,GDPR规定,发生数据泄露的公司应在发现后72小时内予以披露。此类事件可对公司品牌造成很大伤害,损伤客户信任以致业务丧失,还会让公司面临监管处罚和泄露事件调查的额外开销。数据泄露甚至有可能将公司拖入司法诉讼的漩涡。总之, 敏感数据泄露对公司未来的影响不可估量 。全球已出台多项监管规定对敏感数据保护的重要性加以强调。那么,为什么此类事件还是层出不穷呢?

虽然我们大多只听说新闻报道的大公司数据泄露事件,但并非只有大公司才面临数据泄露的风险。事实上,中小企业的敏感数据泄露问题也不小。攻击者对中小企业下手的回报可能没有对大公司的大,但小企业也不太可能具备能够检测、预防和缓解安全漏洞的策略。

为避免敏感数据泄露,无论是大公司还是中小企业都需要关注网络安全。公司企业通常都会打造自己的应用程序,并几乎总是依赖已有应用运营自己的业务。

如果你构建有自己的应用,请经常测试其安全性。而使用互动式应用安全测试(IAST),就可以在功能测试的同时执行应用安全测试,无需聘用专家进行漏洞评估。

IAST解决方案有助于公司企业用动态测试(亦称运行时测试)技术发现并管理与Web应用运行时发现的漏洞相关的安全风险。IAST通过软件 工具 监视应用运行情况,收集应用执行方式与操作内容的信息。

考虑到 84% 的网络攻击都发生在应用层,最好对与公司应用相关的数据做个清单,围绕这些数据制定相关策略。比如说,数据保存期有多长,要存储哪些类型的数据,谁能访问数据等等。不要保存公司业务用不到的数据。信息保存时间够用就行,不要太长。数据应设有授权和访问控制措施。口令需恰当防护。员工也应接受数据处理及保护的相关培训。

建议公司企业为自身应用处理的数据建立清单很容易,但具体操作起来很是费工。从哪儿入手都是个伤脑筋的问题。

IAST不仅能发现漏洞,还能同时加以验证。采用传统应用安全测试工具时,高误报率是个常见问题。IAST技术的验证引擎可帮公司企业理清该优先处理哪些漏洞并最小化误报。

Web应用中的敏感数据可通过IAST监测,为数据泄露问题提供恰当的解决方案。IAST监视的应用行为包括代码、内存和数据流,可以确定敏感数据的流向,检测数据是否以未受保护方式写入文件,是否暴露在URL中,是否经过恰当加密。只要敏感数据处理不恰当,IAST工具就会标记该数据处理实例。使用IAST工具无需人工搜索敏感数据,其工具智能可代替应用拥有者执行该操作——应用拥有者还可以修改规则精校自己的目标。

需要指出的是,应用由多个组件构成:第三方组件、专利代码和开源组件。应用程序就像乐高积木一样,其中每一块(或几块)都有可能出问题。所以,测试应用的时候,必须全面测试这三类组件。

云迁移的影响也是不能不考虑的一个方面。随着云采纳的增长,越来越多的敏感数据存储在企业网络边界之外。这就增加了企业的风险和攻击界面。同时增加的还有监管压力和在最短时间内以更少的资源交付更多功能的需求。这种情况下,IAST便成了应用安全、敏感数据泄露和安全事件预防测试的最优选项。


以上所述就是小编给大家介绍的《一种创新型敏感数据安全技术:互动式应用安全测试(IAST)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

国际大学生程序设计竞赛例题解

国际大学生程序设计竞赛例题解

郭嵩山 / 电子工业出版社 / 2007-7 / 32.00元

《国际大学生程序设计竞赛例题解3:图论、动态规划算法、综合题专集》以图论、动态规划算法、综合题的形式介绍了ACM国际大学生程序设计竞赛(ACM/ICPC)中所用到的典型算法,并结合例题,对如何灵活地运用这些算法进行比较详细分析和深入浅出的讲解。《国际大学生程序设计竞赛例题解3:图论、动态规划算法、综合题专集》以精讲多练为教学宗旨,并在每一个专题论述后用一章的篇幅选出一批有代表性的竞赛例题,对每道例......一起来看看 《国际大学生程序设计竞赛例题解》 这本书的介绍吧!

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具