《新视角下应用安全双高风险治理之路-李磊.pdf》由会员分享,可在线阅读,更多相关《新视角下应用安全双高风险治理之路-李磊.pdf(22页珍藏版)》请在三个皮匠报告上搜索。
1、新视角下应用安全双高风险治理之路李磊22/9目 录外部篇:硝烟不止O1内部篇:千头万绪 O2实践篇:道法自然O3BeyondSecurity 2022年应用安全报告应用给企业带来的安全风险最高中,对公应用和办公应用的比例CISO认为企业最大的应用安全顾虑之一,是数据保护问题4444%6868%应用程序仍然是一个主要的攻击向量,web 应用程序是最常见的外部攻击形式Forrester2021年应用安全现状报告应用数据泄露T-Mobile因应用程序接口造成数据泄露Owasp Top 10 API安全风险应用安全发展史回顾疑问应用安全发展这么多年,投入那么多精力,结果为什么仍然显得不尽如人意?内部篇
2、:千头万绪 难点1-人少事多,覆盖面企业应用安全面临的难点企业风险处置面临的障碍难点2-全介入,颗粒度企业应用安全面临的难点Microsoft SDL 之七组件包括5阶段2活动DevSecOps 6阶段难点3-”生养“分离,不全面企业应用安全面临的难点无论是SDL抑或DevSecOps里面都提到了关键的安全活动,Response和Operate应用安全同学从那个点就开始不管了?难点4-孤军作战,单视野企业应用安全面临的难点漏洞数据难点5-缺少应用0Day防护能力企业应用安全面临的难点Log4J漏洞”内忧外患“形势严峻人少、事多、如何聚焦?总结实践篇:道法自然应用安全的本质是什么做应用安全,到底在做什么?应用安全与应用API安全应用安全Web API安全管理动作+技术动作应用安全与数据安全应用安全数据安全1+3+1+1数安治理框架,应用数据安全须贴合应用安全SDL来做应用安全的本质观点1.协防和联防,Focus2.不保证不出事、要保证不出大事高敏数据接口高敏权限接口API接口应用双高风险治理框架差异化推进横纵覆盖,不同阶段,关注不同重心横纵双闭环,全局运营化周期拉长,应用生命全周期闭环关注双高风险和控制措施