网络安全之面向大众的应用安全保护

虽然应用程序安全有许多途径，但允许安全团队快速轻松地保护应用程序并以自助服务方式影响安全状况的捆绑包正变得越来越流行。

有趣的是，这么多的推销实际上是所售产品或服务的功能列表，这很有趣的原因是，对于任何在客户方面工作过或听过客户意见的人来说，很明显客户购买的是解决方案，而不是产品。因此，通过喋喋不休地列出一大堆功能来炫耀你对你的产品有多自豪的想法对我来说总是有点奇怪。

换句话说，客户有许多他们希望解决的不同问题、问题和挑战。他们不一定对您的产品或服务可以做的所有不同事情感兴趣。相反，他们有兴趣了解您的解决方案如何帮助他们解决战略重点，并朝着他们为安全和欺诈问题设定的目标前进。供应商有责任了解这一点，并让潜在客户更容易理解该映射。

按照这些思路，提高应用程序安全性是客户的共同目标。正如您想象的那样，任何旨在提高应用程序安全性的解决方案都将非常复杂，由许多不同的活动部件组成。因此，强迫客户在您的产品数据表和概述中寻找他们需要的组件并不是让这些客户相信您有他们可能在市场上需要的解决方案的有效方法。

那么供应商如何才能让客户相信他们拥有值得客户花时间评估的解决方案呢？对于初学者，他们可以将各种功能捆绑到用例中，这些用例可以轻松地向客户演示、评估和使用。按照这些思路，围绕流行的应用程序安全保护用例的捆绑包会是什么样子？

虽然不是详尽的清单，但这里有一些想法：

应用程序代理：在应用程序前面放置代理可能是最基本的应用程序安全要求之一，并且有充分的理由。有了中介，我们就可以检查和监控进出应用程序的流量，并根据安全目的进行必要的阻止或过滤。
速率限制和快速访问控制列表 (ACL)：淹没站点是攻击者的老套路。这是一种原始但有效的策略。速率限制是防止此类攻击的一种相对直接的方法。同样，快速执行的访问控制列表 (ACL) 是阻止不需要的流量的另一种有效方法。
路径发现：将机器学习 (ML) 应用于环境中的流量，使我们能够跟踪请求速率、访问应用程序的客户端身份、发送的有效负载的大小以及其他重要的遥测元素。使用 ML 可以让我们在恶意流量变得更严重之前识别并阻止它——通常在几分钟而不是几小时内。
Web 应用程序防火墙： WAF 已成为应用程序提供商所需的技术，应作为任何应用程序安全包的一部分包含在内。
L3/L4/L7 DDoS： DDoS 保护也已成为应用程序提供商的要求，也应作为任何应用程序安全包的一部分包含在内。
Bot 防御：知道如何绕过上面列出的防御的高级 bot 可能会导致应用程序提供商遭受金钱损失和声誉损害。因此，机器人防御也应作为应用程序安全包的一部分包含在内。
自动证书：部署应用程序的速度对于保持竞争力至关重要，保护这些应用程序的速度也是如此。自动颁发证书和为资源自动注册 DNS 的能力可以节省时间，使应用程序提供商可以在几分钟内从无保护转变为全面保护。
恶意用户检测：机器学习 (ML) 的另一个重要应用是快速了解哪些用户和模式似乎有恶意行为。这通常需要应用程序提供商花费数小时或数天才能确定。使用 ML，这可以在几分钟内完成，从而使这些应用程序提供商能够快速采取行动并阻止/缓解。
客户端防御：许多应用程序提供商缺乏对最终用户环境的可见性。检查 JavaScript 的调用方式、请求的去向以及调用的第三方脚本的能力提供了重要的洞察力，这对应用程序安全目的非常有帮助。
URI 路由：快速轻松地控制某些请求路由到何处的能力使应用程序提供商能够阻止/控制特定端点 (URI)。没有这个重要的特性，任何应用程序安全解决方案都是不完整的。
服务策略：快速简便的策略部署是应用程序安全所必需的。根据需要根据需要将服务策略链接在一起的能力，以及生成自定义规则以引导流量或允许/拒绝超出其他防御功能能力范围的流量的能力，是整个应用程序安全包的另一个重要部分。
综合监视器：应用程序的外部性能如何？我的客户正在经历什么？这些是合成监视器允许企业回答的重要问题，可以快速识别可能影响应用程序的任何问题。
TLS 指纹和设备识别：虽然 IP 地址经常变化，但 TLS 指纹和设备标识符很少变化。因此，在涉及应用程序安全时，基于它们而不是 IP 地址的策略和规则很有意义。
跨站点请求伪造保护：跨站点操作的脚本会给应用程序提供商带来严重的问题。因此，减轻它们存在的风险也应该成为任何应用程序安全包的一部分。