Web安全的四大类新难题
时间:2022-03-07 11:18:01 | 来源:行业动态
时间:2022-03-07 11:18:01 来源:行业动态
难管理,Web安全到底怎么管?
各类应用层安全系统各自为政,缺乏有效的联动和统一编排,切实的安全风险应对能力难以真正得到提升,业务的不断变化使得安全防护是一个体系化工作,管理员和安全团队很难及时掌握最新的攻击和保护措施,如何保障业务关键型Web应用程序免受常见攻击,才能满足更加严格的合规性要求?
难融合,各类Web安全服务能否统一形成闭环?
不同应用安全层的各类设备及系统,在使用时也由不同厂商提供服务,这就对安全产品的多形态部署能力、协同联动能力提出了很高要求,然而实际上,现有的Web安全服务彼此之间常常出现难以融合的局面,无法实现统一的安全服务闭环。
难适应,业务三天一调整,政策半年一变化?
当前,随着业务和监管要求的不断变化,新的安全建设在完成之后,仍需不断调整Web安全策略,API业务的调整周期甚至以天为单位。但当那些专注API或是更复杂的业务威胁,比如证书填充、应用逻辑漏洞利用、Bots泛滥导致的API接口被滥用及0day利用来临时,运维管理却复杂低效,乃至束手无策。
难上线,误报、漏报怎么办?
基于特征匹配和静态签名/规则的传统Web安全检测技术,误报和漏报是一对较难调和的矛盾,通常在应用变更时花费大量时间进行规则调优。而由于误报问题,在生产环境中可能仅启用相对有限的检测规则,这导致Web安全技术被绕过的概率增加。
在线咨询
