In kaart brengen van de Application Security Terrain - Part One

Het aantal en type van beschermende maatregelen voor deze toepassingen groeit. De keuze van een geschikte applicatie security risk management oplossing moet rekening worden gehouden met uiteenlopende eisen en factoren van het bedrijf. Er is geen enkele oplossing die past bij de behoeften van elk bedrijf.

Degenen die verantwoordelijk zijn voor de beveiliging van hun omgeving nodig hebben om te begrijpen wat de risico's die aanwezig zijn in hun toepassingen zijn, omdat elke kwetsbaarheid heeft een bijbehorende criticality die is gebaseerd op verschillende factoren . Gewapend met deze kennis, kan een passende strategie voor risicobeheer worden ontwikkeld met prioritaire acties om deze bedreigingen te verminderen.

ASTECH Consulting heeft meer dan 10 jaar ervaring in het beoordelen van internet applicaties met behulp van handmatige en automatische methoden voor zowel de 'white box' en 'black box' assessments. We hebben een scala van service levels met behulp van deze methoden om de zakelijke behoeften van onze klanten en veiligheidseisen aansluiten.

Dus wat is het vereiste niveau van application security assessment?

Als enterprise application security-eisen worden beschouwd, is het handig om ze in dezelfde context als diverse andere software attributen die we meestal omgaan met:

Functionaliteit
Usability
Prestaties
Betrouwbaarheid, Veiligheid

We kunnen echter geen betrekking op de kenmerken van onze toepassingen afzonderlijk; we ze beschouwen in de context van business requirements en de echte wereld zakelijke factoren, waaronder haalbaarheid, financiering, rendement op investeringen, en alternatieve kosten.

Terwijl beter is altijd wenselijk, we kunnen niet beoordelen wat beter is zonder begrip van de status quo. We moeten de antwoorden "beter dan wat?" vraag. Dit vereist voldoende analyse /evaluatie een vergelijkende uitgangswaarde identificeren

Bijvoorbeeld:. Een bedrijf web-gerichte nieuwsbrief sign-up pagina is gevonden om een ​​cross-site scripting kwetsbaarheid hebben. Dit risico aanpakken nodig $ 20.000 in de ontwikkeling van de kosten. Is dit het beste gebruik van de middelen voor dit bedrijf?

In theoretische termen willen we absolute veiligheid. Concreet willen we een "redelijke of beter" niveau van beveiliging. De definitie van "redelijk" is alleen zinvol in het kader van een specifieke toepassing en het bedrijfsleven. De definitie kan worden gebaseerd op de overheid (bv DOD niveaus van de classificatie), eisen Industry Group (Payment Card Industry) en business domein.

De daad van het meten van de veiligheid, prestaties of de betrouwbaarheid heeft een bijbehorende variabele kosten op basis van de precisie en grondigheid van de analyse, de vaardigheden van de analisten, enz.

Een applicatie security assessment proces is de methode voor het identificeren toepassing beveiligingsproblemen, zodat het bedrijf op de hoogte risk management beslissingen die onder het kan maken evaluatie van de financiële en alternatieve kosten in verband met het inperken van de geïdentificeerde veiligheidsrisico's. De grondigheid, diepte, en de kosten van een applicatie security assessment proces redelijkerwijs moet variëren met de zakelijke behoeften.

Stay tuned voor deel twee, waarin we kijken naar welke soorten veiligheidsrisico te overwegen.
.