More Related Content
Similar to 應用系統安全常見的5種資安防護措施 (20)
More from Galaxy Software Services (19)
應用系統安全常見的5種資安防護措施
- 4. 滲透測試 (Penetration Testing, PT)
滲透測試優勢效益
測試範圍廣
人工測試比起照表操課的程序更靈活
滲透測試缺點
只能提供特定範圍、時間點內運行時的安全狀態
無法在合理的時間內針對所有程序、平台、情境進行
測試
所需時間長
滲透測試需要特殊的專業知識和時間
4
- 6. 網頁應用系統防火牆 (Web Application Firewall, WAF)
WAF 優勢效益
阻擋模式運作時能夠即時保護組織架構
深入觀察實際的威脅
能夠阻擋商業邏輯攻擊 (Business Logic Attacks,
BLAs),例如應用層的阻斷服務攻擊(DDoS)
受開發者developer 歡迎
WAF 缺點
不能解決問題
需為保護的應用系統客製化
也會阻擋合法的請求
只對網頁應用系統(Web Application)有效
6
- 10. 白箱靜態源碼掃描
(Static Application Security Testing, SAST)
靜態源碼掃描 優勢效益
能在開發階段及早修復問題,比起事後修補容易
弱點可從原始碼中直接修正
測試範圍包含了各種程式語言
合穿插在各種開發環境和模型中(Waterfall、Agile和
DevOps)
靜態源碼掃描 缺點
誤判
會回報一些不被外部(攻擊者)發現的問題
結果有分風險等級,但不知道目前哪個弱點受攻擊者鎖定
10
- 13. 應用系統安全總結 : 建立階層式的防禦
沒有任何一個解決方案可以100% 完整保護
理想的應用系統安全策略應該從開發階段開始
接著在主要系統上放置WAF、週期性地進行滲透測試,
然後在程式碼變動時檢查程式碼
建議從上述防禦技術中挑選一到兩項,然後從中挑選出
最適合您環境及商業需求的工具
完整說明: http://www.gss.com.tw/index.php/focus/security/1418-gss-0117-web-application-5
資料來源: Checkmarx
翻譯整理: 叡揚資訊
13