Những nhân tố quan trọng nhất trong bảo mật ứng dụng

Chúng tôi đã hỏi 19 giám đốc điều hành có liên quan đến bảo mật ứng dụng, những người mà họ coi là người đóng vai trò quan trọng nhất trong bảo mật ứng dụng. Thật thú vị khi thấy cách một số người được hỏi tập trung vào công nghệ, trong khi những người khác tập trung vào con người.

Đây là người chúng tôi đã nói chuyện:

• Sam Rehman, CTO,  Arxan Technologies

• John Pavone, Giám đốc điều hành,  Aspect Security

• Jon Gelsey, Giám đốc điều hành,  Auth0

• Mark O'Neill, Phó chủ tịch Đổi mới,  Axway

• Walter Kuketz, CTO,  Tư vấn cộng tác

• Rami Essaid, Giám đốc điều hành,  Distil Networks

• Alexander Polyakov, CTO,  ERPScan

• Deena Coffman, Giám đốc điều hành,  Tư vấn IDT911

• Craig Lurey, CTO và Đồng sáng lập,  Keeper Security

• Max Aulakh, Giám đốc điều hành,  MAFAZO

• Jessica Rusin, Giám đốc cấp cao phát triển,  MobileDay

• Kevin Swartz, Giám đốc tiếp thị,  NowSecure

• Julien Bellanger, Giám đốc điều hành và Đồng sáng lập,  Prevoty

• Kevin Sapp, Phó chủ tịch chiến lược,  Pulse Secure

• Chris Acton, Phó Chủ tịch Hoạt động,  RiskSense Inc.

• Amit Bareket, Giám đốc điều hành,  SaferVPN

• Walter O'Brien, Người sáng lập kiêm Giám đốc điều hành, Dịch vụ Máy tính Scorpion 

• Francis Turner, VP Nghiên cứu và Bảo mật,  ThreatSTOP

• Ari Weil, Phó chủ tịch tiếp thị,  Yottaa

Đây là những gì họ phải nói khi được hỏi "Bạn thấy ai là người đóng vai trò quan trọng nhất trong bảo mật ứng dụng?":

• AWS , các sản phẩm của họ được thử nghiệm với nhiều nhà phát triển và chúng đang đi trước đường cong. Họ sử dụng API và các sản phẩm cấp thấp, lưu trữ các ứng dụng của họ trên các dịch vụ của họ, định cấu hình tường lửa bảo mật cấp mạng, cho phép bạn tạo cơ sở dữ liệu và lưu trữ an toàn dữ liệu được mã hóa và quản lý quyền truy cập vào hệ thống. Điều này vượt trội hơn nhiều so với việc mua một máy chủ từ một nhà cung cấp internet ngẫu nhiên và sau đó sử dụng các sản phẩm cung cấp mức độ xác thực thấp.

• Trưởng nhóm , đây có thể là một kỹ sư hoặc giám đốc dự án thực hiện một dự án với bất kỳ đâu từ bốn đến 100 người. Công việc của họ là bảo vệ, dẫn dắt, khuyến khích và tiếp tục đào tạo và phát triển. Chỉ cho nhóm của họ cách thực hiện công việc. Mang lại các nguồn lực khác nếu thích hợp. Bảo mật phải được ăn sâu vào hành vi của trưởng nhóm và các nhà phát triển. Bảo mật ứng dụng phải là một phần của quá trình phát triển và một phần của lịch trình. Cần được giáo dục nhiều hơn về cách quản lý phần mềm an toàn trong vòng đời phát triển. Điều này có thể được thực hiện trong nhanh nhẹn hoặc thác nước. Hầu hết sử dụng lập kế hoạch nhanh chóng - lặp đi lặp lại. Chúng ta cần suy nghĩ về cách triển khai bảo mật lặp đi lặp lại ở các giai đoạn phát triển phù hợp.

• Nhà phát triển - họ đại diện cho lĩnh vực kiến ​​thức về phát triển và bất kỳ việc triển khai bảo mật nào đều nằm trong tay họ. Bạn cần nhóm bảo mật thông tin (InfoSec) hoặc bên thứ ba kiểm tra và cung cấp thông tin chi tiết về các phát hiện. Quá trình bảo mật rất rời rạc - ít xảy ra hơn trong các dịch vụ tài chính. Vấn đề là với các công ty tầm trung trong lĩnh vực thương mại điện tử sử dụng các ứng dụng cũ chưa được kiểm tra đúng cách hoặc không an toàn. Chúng tôi có 150.000 chuyên gia InfoSec ngắn hạn. Chúng tôi kiểm tra các ứng dụng đã hơn năm năm tuổi hàng tuần và chưa bao giờ được kiểm tra. Bất kỳ doanh nghiệp nào đủ lớn để mua dịch vụ của chúng tôi sẽ được hưởng lợi từ chúng. Họ có những lỗ hổng trong doanh nghiệp của họ, họ chỉ không biết về chúng. Chúng tôi thực hiện phân tích nguyên nhân gốc rễ về các vấn đề liên tục dẫn đến các lỗi ứng dụng web chưa được kiểm tra, kiểm tra chưa đầy đủ hoặc không bao giờ được bảo mật.

• Các nhà phát triển  - họ đặt các cửa hậu trong phần mềm và ứng dụng, điều này gây ra các lỗ hổng mà các nhà phát triển biết cách khai thác.

• Các nhà cung cấp quản lý danh tính truyền thống  như CA, Oracle và IBM và các nhà cung cấp đám mây mới hơn như Okta. Về phía thiết bị, kiểm soát truy cập mạng xung quanh các thiết bị cũng như chỉ cho phép các thiết bị khỏe mạnh kết nối mạng.

• Nó phụ thuộc vào cách bạn định nghĩa "những người chơi quan trọng". Bảo mật ứng dụng , mức độ bảo vệ DNS, ứng dụng web, tường lửa, Mạng Arbor bảo vệ chống lại những người cố gắng lạm dụng hệ thống của bạn. Bảo mật nên kiểm tra những gì đang chạy. Đây là một chủ đề rất rộng. Bạn có thể có cách tiếp cận phân lớp cho các ứng dụng khác nhau - email so với ứng dụng chỉ là một dịch vụ web với các biện pháp bảo vệ web cơ bản nhưng có khả năng là bất cứ thứ gì bạn chạy trên chính máy chủ. Giảm nhẹ điều gì xảy ra nếu ai đó vào trong. Đối với web thì chung chung, đối với ứng dụng thì có nhiều nhu cầu khác nhau. Ví dụ: Thương mại điện tử xử lý thông tin khách hàng đảm bảo tuân thủ PCI, đảm bảo xác minh, mã hóa - nếu bạn không xử lý thanh toán, bạn không cần bất kỳ điều gì trong số này.

• Chúng tôi là một công ty nhỏ, 20 người, vì vậy tất cả mọi người đều quan tâm và có thể trả lời các câu hỏi về bảo mật.  Máy chủ, ứng dụng và dữ liệu đều được bảo vệ. Chúng tôi sử dụng móc chìa khóa của Apple. Chúng tôi hiện đang làm việc trên Android. Chúng tôi đã thuê một công ty bên thứ ba để quét cơ sở mã để đảm bảo không có vấn đề gì. Chúng tôi luôn cập nhật các khuôn khổ và mã. Chúng tôi luôn cập nhật các bản cập nhật và vi phạm bảo mật trên Linux. Môi trường công nghệ của chúng tôi phản ánh môi trường sản xuất của chúng tôi.

• Một người giỏi về bảo mật và kiểm tra mã PIN. Nhà phát triển tập trung vào cá nhân có kiến ​​thức về bảo mật.  Những người có thể liên quan đến các nhà phát triển sẽ làm tốt hơn nhiều. Ai đó là nhà lãnh đạo - đã ở đó, đã làm được điều đó - sẽ được tín nhiệm nhiều hơn. Một người chơi có ảnh hưởng trong lĩnh vực CNTT của ngôi nhà được nhiều người kính trọng. Vẫn cần kiến ​​thức chuyên môn về vấn đề bảo mật và phía hoạt động để ứng phó. AppSec là chất keo kết dính tất cả lại với nhau. Kiềng ba chân của bảo mật, CNTT và sự nhạy bén trong kinh doanh.

• Tường lửa ứng dụng web  - F5 và Imperva. Chúng tôi không đạt được nhiều bước tiến. Chúng tôi tiếp tục sử dụng cùng một công nghệ để lặp lại mà không giải quyết được vấn đề. Họ tập trung vào việc tuân thủ PCI hơn là bảo mật. Chúng đã không tiến hóa. Bảo mật đã trở thành hàng hóa khi Akamai và Palo Alto tham gia vào không gian vì CVN, tường lửa, bộ cân bằng tải. Không ai biết điều gì hoạt động tốt nhất.

• Những gì chúng tôi đang làm là chìa khóa để tiến tới việc giúp các nhà phát triển dễ dàng và hiệu quả hơn. Tự động hóa không làm chậm sự đổi mới. Giúp cá nhân có thể xây dựng các ứng dụng di động an toàn.

• Các nhà phát triển của các ứng dụng.  Nhà phát triển đưa ra tất cả các quyết định triển khai có ảnh hưởng đến bảo mật. Có rất nhiều tùy chọn cho các thành phần để xây dựng bên trên. Các nhà phát triển cần nhận thức được các thành phần đơn giản nhất và dễ thực hiện nhất với khả năng bảo mật mạnh mẽ. Đừng cố gắng xây dựng từ đầu.

• Có rất nhiều nhà cung cấp, điều đó phụ thuộc vào khu vực bạn đang nói đến. KNOX của Samsung được cho là cung cấp khả năng bảo vệ trong môi trường khép kín nhưng không. Barracuda, McAfee, APG, không có ai cụ thể. Những người chơi khác nhau có những đặc sản khác nhau.

• Nó từng là bảo mật ứng dụng web, bảo mật trình duyệt web, tường lửa được liên kết với cân bằng tải. Bây giờ người ta mong đợi rằng các ứng dụng sẽ có những tính năng đó. Trong vài năm qua, chúng tôi đã chuyển sang sử dụng thiết bị di động và IoT gọi các API khác. Vi phạm Buser vào năm 2013 là vi phạm lớn đầu tiên liên quan đến API. Các vi phạm IRS và Snapchat đã xảy ra trong năm nay. Vi phạm đã tạo ra nhu cầu bằng cách khiến mọi người nhận ra rằng bảo mật web và bảo mật ứng dụng không giống nhau.

• Các nhà phát triển đặt nền tảng, tìm và sửa các lỗ hổng.

• Các công cụ thực sự tốt sẽ tìm ra vấn đề và sau đó mọi người cần khắc phục chúng. Những người khác có các công cụ không phải để tìm ra vấn đề nhưng sẽ cung cấp cho bạn chứng chỉ bảo mật với giá 10.000 đô la. Tất cả những gì công ty muốn là sự phủ nhận chính đáng. Bốn công ty bảo mật lớn đã đạt được vị trí của họ vì chúng phù hợp về mặt chính trị. Những người có phần mềm bảo mật thực sự là quá đắt đối với một công ty để giải quyết tất cả các vấn đề mà họ phát hiện ra. Chúng phơi bày các vấn đề và loại bỏ sự phủ nhận chính đáng.

• Cựu nhân viên FBI, Mark Goodman, tham gia vào lĩnh vực an ninh mạng và đã viết một cuốn sách rất hay Những tội ác trong tương lai . Các nhà cung cấp cơ sở hạ tầng  như Cisco và AWS đang xây dựng nền tảng với các tính năng bảo mật vốn có như xác thực đa yếu tố. AWS đang có những bước tiến lớn trong việc xây dựng bảo mật cho các dịch vụ đám mây của mình. Việc Dell mua lại EMC cũng sẽ tăng cường sự chú trọng về bảo mật vì EMC sở hữu RSA.

• Công ty của chúng tôi và nhiều công ty khác đang làm việc tốt trên nền tảng đám mây. IBM đang làm rất tốt về mặt dịch vụ. Các nhà cung cấp nền tảng Apple và Android đang cải thiện các bộ tính năng của họ. Mọi người phải có một cách tiếp cận toàn diện hơn.  Hãy xem toàn bộ đường ống như một ứng dụng lớn. Rất nhiều cuộc tấn công vào hypervisor. Bạn chỉ phải đánh cắp chìa khóa một lần để có thể truy cập vào mọi thứ.

Bạn coi ai là người đóng vai trò quan trọng nhất trong bảo mật ứng dụng?

Có ai khác với những người ở trên đã chia sẻ không?