Mapping the Application Security Terrain - Part One

Il numero e il tipo di misure di protezione per queste applicazioni è in crescita. La scelta di una soluzione appropriata gestione dei rischi di sicurezza delle applicazioni dovrebbe tener conto delle diverse esigenze del business e fattori. Non esiste una soluzione unica che si adatta esigenze di ogni azienda.

I responsabili per la sicurezza dei loro ambienti hanno bisogno di capire quali rischi sono presenti nelle loro applicazioni, come ogni vulnerabilità ha una criticità associata che si basa su diversi fattori . Armati di questa conoscenza, un'adeguata strategia di gestione del rischio può essere sviluppato con l'azione prioritario per ridurre queste minacce.

ASTECH Consulting ha oltre 10 anni di esperienza di valutazione delle applicazioni internet utilizzando metodi manuali e automatizzati sia per 'white box' e valutazioni 'scatola nera'. Abbiamo sviluppato una serie di livelli di servizio che utilizzano questi metodi per soddisfare le esigenze di business dei nostri clienti e dei requisiti di sicurezza.

Allora, qual è il livello di valutazione della sicurezza delle applicazioni?

i requisiti di sicurezza delle applicazioni aziendali sono considerati, è utile metterli nello stesso contesto come diversi altri software attributi che di solito trattiamo:

Funzionalità
Usabilità
Prestazioni
Affidabilità
Sicurezza

Tuttavia, non possiamo trattare con le caratteristiche delle nostre applicazioni in isolamento; li consideriamo nel contesto dei requisiti di business e dei fattori di business del mondo reale, tra cui la fattibilità, i finanziamenti, il ritorno sugli investimenti, e il costo opportunità.

Mentre meglio è sempre auspicabile, non possiamo valutare ciò che è meglio senza capire il status quo. Dobbiamo rispondere alla "meglio di cosa?" domanda. Ciò richiede sufficiente analisi /valutazione per identificare una base comparativa

Ad esempio:. Pagina di iscrizione newsletter web fronte di un'azienda si trova ad avere una vulnerabilità cross-site scripting. Affrontare questo rischio può richiedere $ 20.000 in costi di sviluppo. E 'questo il miglior uso dei fondi per questa azienda?

In termini teorici che vogliamo assoluta sicurezza. In termini pratici vogliamo un livello "ragionevole o meglio" della sicurezza. La definizione di "ragionevole" è significativa solo nel contesto di una specifica applicazione e commerciale. La definizione può essere basata su di governo (ad esempio, i livelli di classificazione DOD), esigenze del gruppo industria (Payment Card Industry), e dominio aziendale.

L'atto stesso di misurare la sicurezza, le prestazioni, o l'affidabilità ha un costo variabile associata basati sulla precisione e la completezza delle analisi, le competenze degli analisti, ecc

Un processo di valutazione della sicurezza di applicazione è il metodo di identificazione di vulnerabilità di sicurezza di applicazione in modo che l'azienda può adottare decisioni di gestione del rischio informate che includono il valutazione dei costi finanziari e opportunità connesse con mitigare i rischi di sicurezza identificati. La completezza, la profondità, e il costo di un processo di valutazione di sicurezza delle applicazioni dovrebbe ragionevolmente variare con le esigenze di business.

Restate sintonizzati per la seconda parte, dove vedremo quali tipi di rischi per la sicurezza da considerare.
.