Web Application Security - Ne pas brider - Build it Dans

Comment sécurisé sont vos applications Web? Sauf si vous effectuer des tests de vulnérabilités des applications tout au long de la durée de vie de vos applications, il n'ya aucun moyen pour vous de connaître votre sécurité des applications web. Ce n'est pas de bonnes nouvelles pour votre sécurité ou les efforts de conformité réglementaire.

Les entreprises font des investissements importants pour développer des applications Web de haute performance afin que les clients peuvent faire des affaires, où et quand ils le souhaitent. Bien qu'elles soient pratiques, cet accès 24-7 invite également les pirates informatiques qui cherchent une manne potentielle en exploitant ces mêmes hautement disponibles les applications d'entreprise.

La seule façon de réussir contre les attaques d'applications Web est de créer des applications sûres et durables dès le début. Pourtant, de nombreuses entreprises découvrent qu'ils ont des applications Web et les vulnérabilités de plus de professionnels de la sécurité afin de tester et d'y remédier - en particulier lorsque des tests de vulnérabilité d'application ne se produit pas jusqu'à ce que, après qu'une demande a été envoyée à la production. Cela conduit à des applications étant très sensibles aux attaques et augmente le risque inacceptable d'applications défaillantes vérifications réglementaires. En fait, beaucoup oublient que les mandats de conformité telles que Sarbanes-Oxley, le Health Insurance Portability and Accountability Act, la loi Gramm-Leach-Bliley, et l'Union européenne les règles de confidentialité, tous ont besoin démontrable, la sécurité vérifiable, en particulier là où la plupart des risques d'aujourd'hui existe - à la niveau de l'application Web.

Dans une tentative pour atténuer ces risques, les entreprises utilisent un pare-feu et d'intrusion de détection / prévention des technologies pour tenter de protéger à la fois leurs réseaux et leurs applications. Mais ces mesures sécurité des applications web ne sont pas assez. Applications Web introduire des vulnérabilités, qui ne peuvent pas être bloqués par les pare-feu, en permettant l'accès aux systèmes d'une organisation et d'information. Peut-être c'est pour cela que les experts estiment que la majorité des atteintes à la sécurité d'aujourd'hui sont destinés à des applications Web.

Une façon d'atteindre durable sécurité des applications web est d'incorporer des tests de vulnérabilité d'application dans chaque phase du cycle de vie d'une application - depuis le développement de l'assurance qualité au déploiement - et continuellement pendant le fonctionnement. Depuis toutes les applications Web ont besoin pour satisfaire aux normes fonctionnelles et de performance pour être de valeur de l'entreprise, il est de bon sens pour intégrer la sécurité des applications Web et des tests de vulnérabilité d'application dans le cadre de la fonction existante et les tests de performance. Et à moins que vous faites cela - test pour la sécurité à chaque phase du cycle de vie de chaque application - vos données sont probablement plus vulnérables que vous réalisez.

Négliger d'application des tests de vulnérabilité: Risques et coûts de la sécurité Pauvre

Considérons la chaîne de supermarchés Hannaford Bros, qui aurait maintenant dépenser des milliards pour renforcer sa sécurité informatique et d'applications Web - après attaquants ont réussi à voler jusqu'à 4,2 millions de crédit et les numéros de cartes de débit de son réseau. Ou, les trois pirates récemment inculpés pour avoir volé des milliers de numéros de cartes de crédit en insérant renifleurs de paquets sur le réseau de l'entreprise d'une chaîne de restaurants majeur.

Les coûts potentiels de ces attaques et connexes d'applications Web s'additionner rapidement. Quand vous considérez la charge de l'analyse médico-légale de systèmes compromis, augmentation de l'activité centre d'appels de clients mécontents, les frais juridiques et des amendes réglementaires, la divulgation des failles de sécurité les avis envoyés aux clients touchés, ainsi que d'autres entreprises et les pertes de clients, il n'est pas surprenant que les nouvelles rapports d'incidents souvent détail coûts allant de 20 millions de dollars à 4,5 milliards de dollars. La firme de recherche Forrester estime que le coût d'une brèche de sécurité varie d'environ $ 90 à $ 305 par dossier compromis.

Les autres coûts qui découlent de sécurité des applications Web de mauvaise qualité comprennent l'incapacité de faire des affaires au cours de déni de service et les attaques, s'est écrasé, la performance des applications réduites, et la perte éventuelle de la propriété intellectuelle à ses concurrents.

Ce qui est surprenant, en dehors de tous les risques de sécurité et de réglementation que nous avons décrites, c'est que c'est en fait plus rentable d'utiliser des vulnérabilités des applications des tests pour repérer et corriger les défauts logiciels liés à la sécurité au cours du développement. La plupart des experts s'accordent à dire que, même si cela coûte quelques centaines de dollars pour attraper de tels défauts durant la phase d'exigences, elle pourrait bien coûter plus de $ 12,000 pour fixer cette faille même après la demande a été envoyée à la production.

Il n'y a qu'une seule façon de vous assurer que vos applications sont sécurisées, conformes, et peut être gérée de manière rentable, et c'est d'adapter une approche cycle de vie à la sécurité des applications web.

Le Web Application Security Lifecycle

Les applications Web ont besoin pour démarrer sécurisé pour rester sécurisé. En d'autres termes, ils doivent être construits en utilisant des pratiques de codage sécurisées, passer par une série de tests de vulnérabilité et de QA demande, et être surveillés en permanence dans la production. Ceci est connu comme le cycle de vie de la sécurité des applications Web.

Remédier aux problèmes de sécurité pendant le processus de développement par le biais des tests de vulnérabilité d'application n'est pas quelque chose qui peut être atteint immédiatement. Il faut du temps pour intégrer la sécurité dans les différents stades de développement de logiciels. Mais toute organisation qui a entrepris d'autres initiatives, telles que la mise en œuvre du Capability Maturity Model (CMM) ou même l'objet d'un programme Six Sigma, sait que l'effort en vaut la peine parce systématisées processus de demande de test de vulnérabilité de fournir de meilleurs résultats, plus d'efficacité et des économies de coûts au cours du temps.

Heureusement, d'évaluation des demandes et des outils de sécurité sont disponibles dès aujourd'hui qui vous aideront à y arriver - sans ralentir les calendriers des projets. Mais, dans le but de renforcer le développement tout au long du cycle de vie de l'application, il est essentiel de choisir les outils d'application de vulnérabilité de test que les développeurs d'aide, testeurs, professionnels de la sécurité et les propriétaires d'applications et que ces boîtes à outils s'intégrer étroitement avec les principaux IDE, comme Eclipse et Visual Studio de Microsoft . NET pour les développeurs.

Et tout comme la standardisation des processus de développement - tels que le RAD (Rapid Application Development) et agile - apporte l'efficacité du développement, de gagner du temps, et améliore la qualité, il est clair que le renforcement du cycle de vie du développement logiciel, possédant les bons outils de test de sécurité, et en plaçant le logiciel de sécurité plus élevé dans la liste prioritaire sont excellents et précieux investissements des entreprises à long terme.

Quels types d'outils de sécurité des applications Web devrait vous recherchez? La plupart des entreprises sont au courant de scanners de vulnérabilités réseau, tels que Nessus, qui évaluent l'infrastructure nécessaire pour certains types de vulnérabilités. Mais moins sont au courant de l'application des tests de vulnérabilité et des outils d'évaluation qui sont conçus pour analyser les applications Web et services Web pour les défauts qui leur sont spécifiques, tels que les entrées non valides et les vulnérabilités cross-site scripting. Ces sécurité des applications Web et les scanners de vulnérabilités ne sont pas seulement utiles pour applications personnalisées, mais aussi pour s'assurer que le logiciel commercial acquis est sécurisé.

Il existe également des outils de sécurité des applications Web qui aident inculquer une bonne sécurité et un contrôle de qualité plus tôt et tout au long du développement. Par exemple, ces outils d'application de test de vulnérabilité aider les développeurs à trouver et à corriger les vulnérabilités des applications automatiquement alors qu'ils coder leurs applications et services Web. Il ya aussi des applications d'inspection de qualité qui aident les professionnels AQ intégrer la sécurité des applications Web et des tests de vulnérabilité d'application dans leurs processus de gestion existants automatiquement.

Il est également important de savoir que la technologie seule ne sera pas faire le travail. Vous avez besoin d'aide à la gestion, aussi. Et peu importe comment grand ou petit vos efforts de développement, toutes les parties prenantes - entreprises et propriétaires d'applications, la sécurité, la conformité réglementaire, audit, et les équipes d'assurance qualité - devrait avoir un mot à dire dès le début, et des repères doit être réglé pour des tests de vulnérabilité la qualité des applications.

Bien qu'il peut sembler une tâche ardue au premier abord, l'application de sécurité web du cycle de vie approche permet d'économiser de l'argent et l'effort fait par l'établissement et le maintien des applications plus sécurisées. La réparation des défauts de sécurité après une demande est libéré exige du temps et des ressources supplémentaires, ajoutant les coûts imprévus pour les projets finis. Elle détourne aussi l'attention d'autres projets, ce qui pourrait retarder les délais de commercialisation de nouveaux produits et services. En outre, vous ferez des économies sur la dépense excessive d'avoir à corriger les défauts après l'application a été déployée, et vous avez échoué vérifications réglementaires - et vous éviter l'embarras d'être le titre de la sécurité côté violation nouvelles....