什么是一个好的应用程序笔测试?指标

应用程序安全性的研究人群测试和bug赏金程序提供者钴试图定义企业可以测量改进结果

方案 |

莱格詹森2.0 (CC)

在创建安全的应用程序时,没有什么比关注基本的东西更好了:在开发过程中进行安全编码,然后测试应用程序是否存在安全缺陷。测试机制的一部分应该始终包括一个深入的应用程序笔测试。但是组织如何知道他们从这样的评估中获得了全部的好处呢?

开发应用程序安全性应该(或应该)做些什么是众所周知的。开发人员应该在他们的开发环境中检查他们的代码。他们的代码应该在开发过程中经过一系列质量和安全测试。应用程序应该在部署后再次检查。而且,在所有这些之后,很可能应用程序中存在更多尚未被发现的漏洞。

定期进行应用程序渗透测试可以发现这些顽固的缺陷;在这种情况下,应用程序会被戳戳,以查看其安全控制是否如预期的那样工作,以及是否容易受到攻击。研究公司市场和市场预测整个渗透测试市场将从2016年的5.95亿美元增长到2021年的17亿美元,而web应用渗透测试领域在2016年拥有最大的市场规模。

很难找出缺陷在开发、应用程序运行在生产,所以应用程序安全性笔测试仍然是一个关键的安全计划的一部分。这些测试是如何识别潜在的漏洞(如跨站点脚本编写、SQL注入、远程代码执行和糟糕的身份验证),并有希望发送这些漏洞进行补救。但是成功的渗透测试是什么样的,企业应该如何衡量成功,才能在未来提高自己的成果,获得更多的价值?

在对该公司2016年进行的所有应用渗透测试的研究中,Cobalt详细阐述了如何使用应用渗透测试指标来衡量安全程序和第三方笔测试项目的应用渗透测试的有效性。毕竟,改进的唯一方法是评估当前的情况,制定目标,并根据这些目标衡量进展。

考虑到这一点,问企业为什么要进行应用程序渗透测试是合理的。Cobalt公司负责安全策略的副总裁卡罗琳•王(Caroline Wong)表示,到目前为止,最常见的原因是企业需要在商业交易中向客户证明尽职调查,或者证明已发现的安全缺陷得到了弥补。“这是我们看到的最常见的用例,”她说。王说,第二种是安全投诉。

克里斯·布罗,自由互助保险公司的安全风险技术专家同意这种观点。他表示:“我所见过的大多数应用程序渗透测试都是出于遵从性或客户需求。”“在少数情况下,公司会努力提高安全性,他们希望看到自己的应用程序处于什么位置,但大多数情况下,这是出于合规考虑,比如满足PCI要求,或者客户在做尽职调查。”

Cobalt想确定组织如何学习如何最大限度地利用应用渗透测试。”的理念是帮助定义关键指标,我们认为需要确定今天的ROI或现代的影响渗透测试程序,”黄说。“组织在笔测试上花费了很多钱。他们的钱能换来什么?”

应用渗透测试指标可以帮助回答这个问题,Wong说,他也是《应用渗透测试指标》的作者安全指标,一个初学者的指南。她说:“测量提供了可见性,教育和提供了理解安全项目的通用方法,并通过改进计划和决策,使安全项目能够得到最佳的积极管理。”

经验丰富的红队专业人员普遍认为,如果不考虑应用程序安全程序的其他方面,就很难确定应用程序渗透测试的价值。假设在1月份进行了一次应用渗透测试,它识别出10个高风险、20个中风险和50个低风险漏洞。该组织在60天内修复了所有这些漏洞。但当他们在3月份进行另一次测试时,他们发现了一批甚至更多的漏洞,其中包括20个高漏洞、30个中漏洞和50个低漏洞。”

第一次应用程序渗透测试是一种浪费吗?”他继续说。“不,因为缺陷是固定的。但像这样的结果表明,更多的开发人员培训是有序的,也许更多的测试在开发管道。”

除了使用度量来通知一个安全的应用程序开发程序外,其他度量的例子是什么?这些可以包括测量应用程序评估的频率,修复关键漏洞所花费的时间,或者减少某些类型的缺陷。“重要的是开始测量基于什么对你是重要的,并使用这些测量改善随着时间的推移,”黄说。

钴的研究发现,当涉及到周期性的渗透测试时,大多数人选择每年进行一次测试。在Cobalt调查的这些机构中,约有46%的机构进行了年度笔检,39%的机构进行了半年笔检,15%的机构进行了季度笔检。至于被发现的致命弱点呢?结果表明,对于研究中的企业来说,在渗透测试中发现的漏洞中,有9%是临界的,8%是高临界的,14%是中等临界的。在72%的情况下,大部分被发现的缺陷被列为低临界性。

乍一看,应用程序渗透测试越多越好,但事实并非如此,因为不同的组织对技术和部署新的内部应用程序和特性会有不同的方法。“这在很大程度上取决于你的安全程序的性质和你的应用程序开发工作的性质,”Blow说。

例如,在DevOps和敏捷开发工作流带来发布新代码的压力的今天,拥有合适的测试工具是很重要的,这样才能在开发和部署过程中对软件进行审查。它们可以对生产环境中连续运行的应用程序进行自动应用程序扫描。Blow说:“在这种情况下,每六个月或者在重大产品发布后进行一次应用笔测试是有意义的。”

当涉及到选择哪些应用程序需要花费最多的时间来评估和修复时,专家们一致认为,这一切都归结到业务的关键程度。王说:“你要专注于最重要的商业应用程序,以及那些带来最多安全和监管风险的应用程序,而且你要首先修复这些应用程序中最关键的缺陷。”

这个故事,“什么是一个好的应用程序笔测试?”Metrics”最初由方案

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
相关:

版权©2017Raybet2

工资调查:结果在