Bảo mật ứng dụng đã phát triển như thế nào

Chúng tôi đã hỏi 19 giám đốc điều hành có liên quan đến bảo mật ứng dụng rằng họ đã thấy bảo mật ứng dụng phát triển như thế nào theo thời gian.

Đây là người chúng tôi đã nói chuyện:

• Sam Rehman, CTO,  Arxan Technologies

• John Pavone, Giám đốc điều hành,  Aspect Security

• Jon Gelsey, Giám đốc điều hành,  Auth0

• Mark O'Neill, Phó chủ tịch Đổi mới,  Axway

• Walter Kuketz, CTO,  Tư vấn cộng tác

• Rami Essaid, Giám đốc điều hành,  Distil Networks

• Alexander Polyakov, CTO,  ERPScan

• Deena Coffman, Giám đốc điều hành,  Tư vấn IDT911

• Craig Lurey, CTO và Đồng sáng lập,  Keeper Security

• Max Aulakh, Giám đốc điều hành,  MAFAZO

• Jessica Rusin, Giám đốc cấp cao phát triển,  MobileDay

• Kevin Swartz, Giám đốc tiếp thị,  NowSecure

• Julien Bellanger, Giám đốc điều hành và Đồng sáng lập,  Prevoty

• Kevin Sapp, Phó chủ tịch chiến lược,  Pulse Secure

• Chris Acton, Phó Chủ tịch Hoạt động,  RiskSense Inc.

• Amit Bareket, Giám đốc điều hành,  SaferVPN

• Walter O'Brien, Người sáng lập kiêm Giám đốc điều hành, Dịch vụ Máy tính Scorpion 

• Francis Turner, VP Nghiên cứu và Bảo mật,  ThreatSTOP

• Ari Weil, Phó chủ tịch tiếp thị,  Yottaa

Đây là những gì họ phải nói khi được hỏi "Bảo mật ứng dụng đã phát triển như thế nào theo thời gian?":

• Bắt đầu với MD5, vốn rất dễ bị hack, trước sự phát triển của các thuật toán mã hóa. Mọi người đã sử dụng các thuật toán đơn giản dễ bị bẻ khóa, sau đó đến SHA và 256 bit. Các thuật toán băm mạnh hơn để không có tri thức (mã hóa dữ liệu) giữa ứng dụng và máy chủ. Các công cụ và kỹ thuật hack được cải thiện.

• Chúng tôi đã chuyển từ kiểm tra tĩnh và sửa lỗi sang mô hình mối đe dọa quy mô lớn hơn với các ngân hàng hack và các kịch bản thực tế với các công cụ để tăng cường. Chúng tôi không có trí thông minh thực tế. Rất nhiều kết quả dương tính giả với các công cụ hiện có. Chúng tôi chưa tìm ra cách sử dụng dữ liệu để phát triển bảo mật quy mô lớn.

• Phát triển từ ngành thẻ thanh toán từ 10 năm trước. Bây giờ chính phủ được điều hành bởi các tiêu chuẩn liên bang và tiểu bang. Có một sự thay đổi mô hình trong kinh doanh - mọi thứ đều do rủi ro thúc đẩy - chi phí để bảo vệ dữ liệu là bao nhiêu, tôi mất bao nhiêu tiền nếu dữ liệu bị xâm phạm?

• Các dịch vụ của AppSec bao gồm phần mềm và những người hiểu rõ về bảo mật có thể cung cấp cho khách hàng danh sách các lỗ hổng bảo mật và giải pháp khắc phục chúng.

• Cải thiện trải nghiệm người dùng cho các nhà cung cấp bảo mật. Đám mây và thiết bị di động đã thay đổi trò chơi. Các ứng dụng không còn chạy trong các trung tâm dữ liệu sau tường lửa. Không có vành đai an ninh truyền thống. Tập trung hơn vào việc chuyển bảo mật cho ứng dụng . Công nghệ thông tin kết hợp đang trở thành tiêu chuẩn và điều này dẫn đến một mô hình bảo mật phức tạp hơn nhiều.

• Có nhiều nhận thức hơn trước đây nhưng tôi không chắc đã có nhiều sự tiến hóa. Đám mây đã thực hiện những thay đổi lớn đối với ứng dụng và bảo mật ứng dụng trong năm năm qua. Trước đây, những thứ này nằm sau một bức tường lửa của công ty. Chúng tôi đã hy sinh tính bảo mật để thuận tiện (ví dụ: truy cập thông qua thiết bị di động).

• Bây giờ nó được coi trọng hơn vì mọi thứ không nằm sau tường lửa. Tập trung nhiều hơn vào đám mây và tập trung nhiều hơn vào các công cụ. Một sự thay đổi đối với các ứng dụng có xác thực kép và một số lớp bảo mật. Các thiết bị đang bắt đầu sử dụng cảm biến vân tay.

• Những thách thức đã phát triển. Ứng dụng tĩnh đã trở thành tập hợp phân phối của các liên kết và điểm cuối. Các trường hợp sử dụng đã chuyển đổi từ việc đọc brochureware sang có trải nghiệm cá nhân hóa, hấp dẫn phù hợp với thiết bị và bối cảnh duyệt web. Các mối đe dọa đã phát triển để bao gồm các loại tấn công theo khối lượng (ví dụ: DDoS), chậm, phần mềm độc hại, quảng cáo độc hại và man-in-the-middle bao gồm giả mạo yêu cầu, chèn sql và khai thác mã chéo trang web.

• Ba giai đoạn:
  Phản ứng - tìm ra lỗ hổng bảo mật và nhiệm vụ của nhóm bảo mật là khắc phục chúng. Đây là nơi có hầu hết các ngành công nghiệp ngày nay.
  Chủ động - có kiến ​​thức và được đào tạo, bảo mật theo thiết kế, miễn là sửa chữa và tìm kiếm.
  Dự đoán - giám sát liên tục để các ứng dụng biết khi nào chúng bị tấn công và có thể phản ứng phù hợp. Đưa vào SDLC để bạn có thể giám sát mối đe dọa trong khi phát triển. Refactor / reengineer vào quá trình phát triển.

• Chúng tôi đang tìm thấy các lỗ hổng trong bảo mật ứng dụng web vì thiếu sự cải tiến. Người chơi thích tìm kiếm các vấn đề cụ thể. Tự động hóa nhiều hơn đã trở nên tuyệt vời - sử dụng các trình tích hợp mã để kiểm tra mã kiểm tra lỗi và lỗ hổng bảo mật.

• Nhận thức và khả năng hiển thị về các vấn đề quyền riêng tư và bảo mật trong ứng dụng dành cho thiết bị di động. Khác biệt giữa PC truyền thống và các thiết bị di động. Ứng dụng di động được cấp phép quá mức.
  Bảo mật ứng dụng đã phát triển cùng với hệ điều hành di động và khung lập trình. Các loại tấn công và lỗ hổng bảo mật đang phát triển với tốc độ như nhau. Đó là một cuộc đấu tranh để theo kịp. Các cuộc tấn công có mức độ phức tạp hơn 10 năm trước.

• Các ứng dụng đã trở nên tiên tiến hơn. Samsung Knox là đối tượng của rất nhiều nghiên cứu và được phát hiện là dễ bị tổn thương hơn nhiều so với những gì mọi người mong đợi. Samsung biết rằng họ cần sử dụng VPN trên Knox. Mọi thứ phức tạp và cao cấp hơn nhiều.

• Bảo mật web đã phát triển thành bảo mật ứng dụng dành cho thiết bị di động. Mọi người đều biết về các vi phạm cũng như thực tế là nếu bạn đặt một ứng dụng lên đám mây, bạn sẽ khiến mọi người dò tìm lỗ hổng bảo mật. Hiểu rõ hơn rằng nó không chỉ khó mà còn có nhiều lưu lượng truy cập máy-máy hơn và nhiều khóa API hơn dẫn đến nhiều lỗ hổng hơn. Bảo mật API được gắn với OLAF.

• Không đủ nhanh. Nó chậm nhưng chắc chắn để có được một hồ sơ cao hơn, trở nên quan trọng hơn sớm hơn trong quá trình này. Nó không nên bị giới hạn cho các nhà phát triển. Ví dụ: các ứng dụng tính lương được bán cho HR với cài đặt bảo mật bị tắt theo mặc định. Nhân sự không nói chuyện với CNTT vì họ không nghĩ đến và hệ thống trả lương bị tấn công. Việc triển khai là rất quan trọng để bảo mật không bao giờ được giải quyết. Silo là kẻ thù của an ninh.

• Nhận thức. Mọi người đều nói về an ninh mạng nhưng mọi người nhầm giữa nói với làm. Không ai thực sự đang làm bất cứ điều gì. Không có ảnh hưởng gì khác ngoài việc tỷ lệ bảo hiểm đang tăng lên. Có ai quan tâm không? Nó không phải là không thể sửa chữa. Ransomware sẽ tiếp tục phát triển. Ai đó sẽ mất 10 triệu đô la và bảo hiểm không bao gồm tổn thất trước khi các công ty bắt đầu coi trọng vấn đề bảo mật.

• Nhận thức của người dùng như người tiêu dùng bị đánh trực diện hàng ngày. Chúng ta đang ở điểm uốn của đường cong. Chúng tôi đã đồng hành trong hai năm qua, mọi người đối phó với sự tấn công hàng ngày của hồ sơ y tế trực tuyến, điện thoại di động bị khóa. XCode Ghost dẫn đến việc các ứng dụng của Apple được xây dựng với các lỗ hổng bảo mật. Bộ công cụ để xây dựng ứng dụng đã bị xâm phạm. Công nghệ thông tin doanh nghiệp, những người từng được bảo mật và an toàn, hiện đang sử dụng HTTPS. Tập trung nhiều hơn vào bảo mật.

• Chúng tôi đã vượt ra ngoài khả năng bảo vệ bằng khóa động. Không ngừng thay đổi với việc tự kiểm tra và tự điều chỉnh nhiều hơn. Máy dự đoán có thể được thiết kế ngược, máy không thể đoán trước được. Các ứng dụng thông minh hơn cũng như tin tặc.

Bạn đã thấy bảo mật ứng dụng phát triển như thế nào?

Tương lai nắm giữ những gì?