Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

應用系統安全常見的5種資安防護措施

本篇介紹的是各種網頁應用系統的安全工具(滲透測試、弱點掃描、源碼檢測、WAF、IAST),而標示出重要的選擇依據來幫助各位選擇適合自己環境的應用系統安全技術

  • Login to see the comments

  • Be the first to like this

應用系統安全常見的5種資安防護措施

  1. 1. 一次弄懂網頁應用系統(Web Application) 5 種資安防護措施 1 PT 滲透測試 WAF 網頁應用程式防火牆 DAST 黑箱動態弱點掃描  SAST 白箱靜態源碼掃描  IAST 互動式安全測試
  2. 2. 2
  3. 3. 滲透測試 (Penetration Testing, PT)  何謂滲透測試  透過模擬駭客行為來操作組織的系統及程序  滲透測試包含了橫跨所有層級的手動及自動程序  由企業內部滲透測試小組或是委外顧問服務執行  定期執行 3
  4. 4. 滲透測試 (Penetration Testing, PT)  滲透測試優勢效益  測試範圍廣  人工測試比起照表操課的程序更靈活  滲透測試缺點  只能提供特定範圍、時間點內運行時的安全狀態  無法在合理的時間內針對所有程序、平台、情境進行 測試  所需時間長  滲透測試需要特殊的專業知識和時間 4
  5. 5. 網頁應用系統防火牆 (Web Application Firewall, WAF)  何謂WAF  放置在應用系統之前  用來即時檢查來自網路的請求內容  若請求內容有攻擊傾向即將其阻擋,否則正常運作 5
  6. 6. 網頁應用系統防火牆 (Web Application Firewall, WAF)  WAF 優勢效益  阻擋模式運作時能夠即時保護組織架構  深入觀察實際的威脅  能夠阻擋商業邏輯攻擊 (Business Logic Attacks, BLAs),例如應用層的阻斷服務攻擊(DDoS)  受開發者developer 歡迎  WAF 缺點  不能解決問題  需為保護的應用系統客製化  也會阻擋合法的請求  只對網頁應用系統(Web Application)有效 6
  7. 7. 黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  亦常稱為動態應用系統安全測試/ 網站黑箱掃描/ 動態測試/ 弱點掃描  何謂動態應用系統安全測試  針對網頁應用系統  輸入不同的輸入值來檢查應用系統 是否有暴露的漏洞  依照一份事先定義的弱點清單 去嘗試破解目標 7
  8. 8. 黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  應用系統安全測試 優勢效益  揭露一些只有在運行中才會顯露出的漏洞  與第三方程式整合  應用系統安全測試 缺點  能找到的漏洞有限  無法完整包含整個應用系統  任何程式改動都需要重新掃描 8
  9. 9. 白箱靜態源碼掃描 (Static Application Security Testing, SAST)  屬於「應用系統網站弱點掃描」的一種,亦常稱 為靜態應用系統安全測試、白箱測試、源碼檢測  何謂靜態源碼掃描  檢查應用系統的原始碼(source code)來找出安全漏洞  能以更多元的角度去檢查程式流中可能被攻擊者所發 現的漏洞 9
  10. 10. 白箱靜態源碼掃描 (Static Application Security Testing, SAST)  靜態源碼掃描 優勢效益  能在開發階段及早修復問題,比起事後修補容易  弱點可從原始碼中直接修正  測試範圍包含了各種程式語言  合穿插在各種開發環境和模型中(Waterfall、Agile和 DevOps)  靜態源碼掃描 缺點  誤判  會回報一些不被外部(攻擊者)發現的問題  結果有分風險等級,但不知道目前哪個弱點受攻擊者鎖定 10
  11. 11. 互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  亦稱為整合式應用系統安全測試  何謂IAST  結合了SAST(源碼檢測)和DAST(黑箱動態測試)的技術  需要受檢測的應用系統所需的設備或是運行環境  需要原始碼、及各種監控設備 11
  12. 12. 互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  IAST 優勢效益  擁有和DAST相同的效益  且能夠回報無聲攻擊  指出產生弱點的程式碼位址  IAST 缺點  需要安裝Agent軟體  缺乏自動化  精確度及弱點覆蓋率較低  可能產生誤判或漏判 12
  13. 13. 應用系統安全總結 : 建立階層式的防禦  沒有任何一個解決方案可以100% 完整保護  理想的應用系統安全策略應該從開發階段開始  接著在主要系統上放置WAF、週期性地進行滲透測試, 然後在程式碼變動時檢查程式碼  建議從上述防禦技術中挑選一到兩項,然後從中挑選出 最適合您環境及商業需求的工具 完整說明: http://www.gss.com.tw/index.php/focus/security/1418-gss-0117-web-application-5 資料來源: Checkmarx 翻譯整理: 叡揚資訊 13
  14. 14. 謝謝聆聽 Q&A www.gss.com.tw www.gsscloud.com

×