Kortlægning af Application Security Terræn - del

Antallet og typen af ​​beskyttelsesforanstaltninger for disse applikationer er stigende. Valget af en passende anvendelse sikkerhed risikostyring opløsning skal tage hensyn til virksomhedens forskellige krav og faktorer. Der er ingen enkelt løsning, der vil passe til enhver virksomheds behov.

De ansvarlige for sikkerheden i deres miljøer har brug for at forstå, hvad risikoen er til stede i deres ansøgninger, som hver sårbarhed har en tilknyttet kritikalitet der er baseret på forskellige faktorer . Bevæbnet med denne viden, kan en hensigtsmæssig risikostyringsstrategi udvikles med prioriteret indsats for at reducere disse trusler.

ASTECH Consulting har over 10 års erfaring vurderer internet applikationer ved hjælp af manuelle og automatiserede metoder til både "hvid boks" og 'sorte boks' vurderinger. Vi har udviklet en række serviceniveauer udnytte disse metoder til at matche vores kunders forretningsmæssige behov og sikkerhedskrav. Salg

Så hvad er det krævede anvendelse sikkerhed vurdering? Salg

Som virksomhedens ansøgning sikkerhedskrav betragtes, er det nyttigt at sætte dem i samme kontekst som forskellige andre software attributter, at vi normalt beskæftiger sig med:

Funktionalitet
Usability
Ydelse
Pålidelighed
Sikkerhedstjeneste

Vi kan dog ikke beskæftige sig med de særlige kendetegn ved vores applikationer i isolation; vi betragter dem i forbindelse med forretningsmæssige krav og virkelige verden forretningsmæssige faktorer, herunder gennemførlighed, finansiering, investeringsafkast, og offeromkostninger.

Mens bedre er altid ønskeligt, kan vi ikke vurdere, hvad er bedre uden at forstå status quo. Vi er nødt til at besvare det "bedre end hvad?" spørgsmål. Dette kræver tilstrækkelig analyse /vurdering for at identificere en sammenlignende baseline

For eksempel:. En virksomheds web-vender nyhedsbrev sign-up side er fundet at have en cross-site scripting sårbarhed. Adressering denne risiko kan kræve $ 20.000 i udviklingsomkostninger. Er dette den bedste anvendelse af midlerne til dette selskab?

I teoretiske termer, vi ønsker absolut sikkerhed. I praksis ønsker vi en "rimelig eller bedre" sikkerhedsniveau. Definitionen af ​​"rimelig" kun mening inden for rammerne af en specifik anvendelse og forretning. Definitionen kan være baseret på regeringens (f.eks DOD niveauer af klassifikationen), industri gruppe krav (Payment Card Industry) og business domæne.

Selve handling måle sikkerhed, ydeevne, eller pålidelighed har en tilknyttet variable omkostninger baseret på den præcision og grundighed af analysen, de færdigheder af analytikerne, etc.

En ansøgning sikkerhed vurderingsprocessen er metoden til at identificere ansøgning sikkerhedshuller således at virksomheden kan træffe kvalificerede beslutninger risikostyring, der omfatter evaluering af de finansielle og offeromkostninger forbundet med at afbøde identificerede sikkerhedsrisici. Den grundighed, dybde, og omkostningerne ved en ansøgning sikkerhed vurderingsproces rimelighed bør variere med forretningsmæssige krav.

Stay tuned for en del to, hvor vi vil se på, hvilke typer af sikkerhedsrisiko at overveje.
.