首页 > 华人69新镜像视频 >IT安全和没有好的,很糟糕的Web应用程序的噩梦
2018
04-24

IT安全和没有好的,很糟糕的Web应用程序的噩梦


日益流行的Web 2.0应用程序正在创造新的IT经理和程序用户的网络安全的担心。最大的问题之一是一些产品开发人员和用户本身缺乏定期扫描计算机系统的漏洞。

最近IBM和惠普收购了两家作为Web 2.0安全威胁的独立监督机构的公司,这可能标志着Web 2.0安全的新焦点。另一方面,这样的关键收购可能会限制Web 2.0安全的有效性。

惠普在六月份收购了Web应用安全公司SPI Dynamics。 IBM在下个月收购了Watchfire。 Watchfire提供Web应用程序安全测试和合规性管理软件。核心安全市场部副总裁Susan Challenger告诉TechNewsWorld:“这会造成安全防范的一个空白,因为网络总是在变化,所以需要不断测试漏洞。

一些安全专家对此类收购感到不安的是产品开发的不确定性。就SPI和Watchfire的收购而言,他们的产品可能只能通过新业主的网络产品才能获得。 Core Security产品经理Alex Horan告诉TechNewsWorld,“看起来无意将这些产品退回到同一个市场。然而,Watchfire和SPI Dynamics继续推销其安全产品。 Core Security上个月通过向Core Impact产品引入Web应用程序测试功能,进入了Web 2.0安全领域。 “安全事故分析师Mike Rothman告诉记者:”目前尚不清楚惠普和IBM的收购将会在市场上留下多大的空白,你可能会承担一些责任,但是陪审团仍然没有做到这一点。 TechNewsWorld。

然而,减少或增加竞争的水平并不是真正的问题,罗特曼断言。企业客户应该频繁地测试他们的应用程序以及他们的网络和系统。

“我可以保证坏人每天都在测试我们的东西,一个强大的安全保证计划是确保你不会对坏人发现感到惊讶的唯一方法,”他解释说。

该观点由关注Web 2.0漏洞问题的其他安全专家共享。 Ogren集团的安全顾问Eric Ogren建议说,Web应用程序安全领域的活动并不是创造一个空白,而是展示了这个能力的战略如何。 Ogren在接受TechNewsWorld采访时表示:“所有的企业都应该有一个连续的测试漏洞关键应用程序的方案,而这个方法就是渗透测试和扫描。

Ogren建议,Watchfire和SPI的收购实际上是Web 2.0市场战略合并的一部分。他认为,这种战略合并有两条路线,取决于客户的方向。

一个是将网络和应用程序渗透测试和扫描合并为一个运营实体。其目标是积极保持业务基础设施的尽可能清洁。 “

”这是一个主要的趋势,IT可以控制扫描活动,并且可以在漏洞成为问题之前插入漏洞,“Ogren说。

第二个整合路径涉及将Web应用程序测试与开发工具合并,以永久纠正源代码中的漏洞。这将软件开发生命周期从工程的内部空间扩展到了生产应用程序的反馈循环。对于拥有积极的应用程序开发人员的大型企业来说,结果非常有吸引力。 Ogren表示:“所以我觉得这不是一个好消息,而是一个迹象,表明这个能力是多么的重要,要找数据库测试人员进行下一步的收购。

据Watchfire公司安全总监丹尼·艾伦(Danny Allan)说,IBM的收购只会使Watchfire在安全领域变得更加强大,他补充说,公司不会进入其他业务领域。

“IBM将把我们的产品与他们的产品集成在一起,Watchfire不会 远。我们现在将拥有更多的资源,“Allan告诉TechNewsWorld。

Watchfire一直在追逐安全问题,他说,现在公司可以专注于频繁地进行漏洞检查

Watchfire看到了两种心态Web 2.0,其中一个就是越来越多的组织开始将安全性构建到自己的应用程序中,因为他们越来越意识到安全漏洞,可能有20%的人今天正在这样做,

其他的思想是,Web 2.0应用程序的其余部分开发人员更关心的是让事情变得有趣,从而忽视安全问题

“教育是处理这种无知的关键。我想说,大约80%的Web应用程序用户完全不了解安全风险,不知道该怎么做,“Allan说。

越来越需要构建更安全的框架,但这些不是他表示,业界需要提供更好的安全平台。

SPI Dynamics提供四种产品来加强Web 2.0的安全性,WebInspect是一个自动化的Web应用程序和Web服务漏洞评估解决方案评估管理平台(AMP)是用于管理,跟踪和测量Web应用程序安全风险的综合平台

SPI Dynamics帮助Web 2.0应用程序开发人员自动查找和修复应用程序安全缺陷,并构建安全的Web应用程序和Web服务。专业人员将自动化的Web应用程序安全测试整合到整个测试管理流程中需要专门的安全知识,并放慢积极的产品发布时间表。

Watchfire的AppScan Security是一个由六个产品组成的安全套件,用于确定关键漏洞并管理修复过程。该套件包括用于应用程序漏洞评估的AppScan 7.6,用于将Web应用程序安全性测试集成到当前QA环境中的AppScan QA以及用于聚合漏洞数据并提供可扩展报告访问的AppScan Reporting Console。

Watchfire的AppScan Security套件还包括AppScan Enterprise,AppScan OnDemand和AppScan Enterprise OnDemand,以扩展整个SDLC的应用安全测试。核心安全技术公司的核心影响安全产品中增加了Web应用渗透测试功能,这将帮助用户发现漏洞,使入侵者能够通过漏洞攻击来穿透网络防护,这些漏洞旨在危及服务器操作系统和服务的漏洞。核心的早期产品测试网络和系统。 Core Impact的Web应用程序安全测试功能使用户能够识别Web应用程序,Web服务器,Web浏览器和相关数据库的弱点。它也动态地产生可以显示安全弱点存在的漏洞。这将帮助用户识别成功攻击的潜在后果。罗斯曼说,核心并没有解决新的威胁,而是专注于帮助客户以更自动化,更有杠杆的方式测试他们的应用程序。

他说:“我非常喜欢让所有的组织都在他们的应用程序,系统甚至用户中频繁使用,这是我称之为”安全保证“的功能。