首席安全官应用安全指南项目负责人及主要作者合著者提供者和审阅翻译者樊山贺新朋胡晓斌郝轶陈东陈亮首席安全官们负责从治理合规性和风险的角度对待应用的安全性首席安全官应用安全指南旨在帮助根据自己的角色职责观点和需要管理应用安全计划应用安全最佳实践和的资源在整个指南中被引用前言本指南已经得到了的项目重启计划的支持并且符合的核心价值指南的开发体现内容的开放性创新性的想法和概念将完整内容发布给遍及全球的应用安全领域内严格中立和无特定商业利益偏向的供应商该指南还开发有关核心价值如能促进实施和促进遵守的标准程序和应用安全控制并提供免费和开放的内容在不以盈利为目的的原则下提高基于风险的应用安全方法应用安全指南项目的领导者是和为本指南的原始内容的开发做出贡献这个项目是与调查项目负责人同时开发同步运行这两个项目的目标是使用调查结果并通过强调其中的项目资源解决这些需求进而通过具体的的需求定制指南首席安全官应用安全指南年月版在年美国大会提出该会议在年月日至日纽约举行手册序言简介应用安全的利益相关者中负责从治理合规性和风险的角度考虑应用安全性本指南旨在帮助根据的角色职责观点和需要来管理应用安全计划本指南中引用应用安全最佳实践和的资源是一个非赢利组织其宗旨是使应用程序的安全可见并赋予应用安全与利益相关者正确的信息并用于管理应用程序的安全风险本指南可帮助从信息安全和风险管理的角度管理应用安全计划从信息安全的角度来看对组织的资产进行保护是很有必要的这些资产包括公民客户端和客户敏感数据存储这些数据的数据库数据库服务器所在的基础设施以及最后也是最重要的用于访问和处理这些数据的应用和软件除了业务和用户数据应用程序和软件也是要保护的资产其中一些应用程序和软件为组织产生了收益并为客户提供关键业务功能例如为客户提供商务服务以及应用和软件为客户销售产品的应用和软件在软件应用被认为是业务关键信息资产的情况下这些应该在人力资源培训流程标准和工具中得到特别的关注本指南的范围是应用安全和结构与组件的安全如服务器应用服务器和数据库的安全这不包括其他不相关的具体应用的安全例如支撑应用和构成一个有价值的资产的网络基础设施的安全属性如保密性完整性和可用性同样需要得到保护樊山目标本指南能够帮助从曝光的新威胁和合规性要求方面考虑管理应用安全风险该指南可以帮助们使应用安全对可见确保应用符合隐私安全数据保护和信息安全相关法规优先修复有风险的业务漏洞为构建应用安全提供指导意见分析针对应用的网络威胁并找出对策衡量和管理应用安全风险和流程受众群体高级安全经理高级技术经理胡晓斌内容摘要事实上应用应该被视为组织的资产这本身就是一个把应用界定在符合信息安全策略和标准之内的很好的理由应用是否符合信息安全策略和标准通常取决于存储在应用中的资产数据的分类暴露给用户的应用类型例如互联网内联网外联网及应用与数据支持例如存取机密资料汇款支付用户管理等功能的风险类型从信息安全的角度来看应用应该在组织的特定脆弱性评估和应用安全需求范围内安全性验证和应用认证遵循特定的安全要求如安全设计安全编码安全操作这些往往是应用安全标准目标的一部分因此合规性是应用程序的安全性的一个重要方面也是首席安全官们的职责所在但不是唯一职责应用安全的扩展安全领域也是的职责这些可以概括为治理风险及合规性从治理的角度首席安全官们负责机构应用安全流程角色和职责的制定并且管理软件开发人员同时对软件开发人员进行软件安全培训和安全意识教育如对信息安全人员管理人员进行防御性编码和脆弱性风险管理的培训从风险管理的角度来看管理的风险还包括应用安全风险如针对特定应用的威胁通过利用安全控制的空白以及应用程序的漏洞窃取用户机密数据的风险在的安全域中遵守法规和安全标准往往会得到该组织的执行管理层最多的关注本指南的目的是帮助满足合规性要求以及利用合规性要求作为投资应用安全的理由对于一些组织来说管理安全事故风险如信用卡欺诈窃取个人身份信息侵犯知识产权和机密数据这些安全事件会吸引大多数的行政管理层的注意力特别是当该组织已被数据泄露的安全事故所影响时贺新朋第一部分投资应用安全的原因在这个数字时代国有和私营组织通过应用为越来越多的市民客户顾客和员工提供服务通常这些应用在互联网上提供高可信服务其中包括承受高风险的业务功能这些应用成为越来越多欺诈者和网络罪犯的目标导致许多拒绝在线访问数据泄露和网络欺诈等事件们的职责是执行应用安全控制措施以避免缓解和减轻影响该组织实现其使命时可能存在的安全风险这种不断变化的威胁形式进一步推动了组织对审计法律和合规性的需求首席安全官们必须为一个应用安全计划投资建立一个商业案例这个商业案例应当作为安全威胁的对策映射到业务和必要的服务计划之上行业安全的投入标准和定量风险计算可以为安全预算投资需求提供支持第二部分管理应用安全风险的准则胡晓斌以下简称首席安全官必须找出首要关注的安全问题为了决策如何管理应用安全风险首席安全官需要评估为修复已知弱点所采取的控制措施的成本效益为了降低应用程序的风险等级成本与效益的权衡是决定采用哪些安全控制措施的关键因素首席安全官经常需要向决策层解释风险说明一旦应用受到攻击敏感数据被破坏时对业务造成的潜在影响当存在以下三个风险要素时安全风险就成为业务风险威胁的可能性漏洞的暴露程度资产价值为了系统地考虑风险等级的排序首席安全官可以参考通用弱点评价体系为了定期地与业务管理部门沟通应用风险首席安全官可以考虑提供安全威胁意识报告给业务管理部门与企业高管沟通首席安全官需要真正地从业务风险的全局去考虑信息安全风险不仅是合规和安全弱点也包括组织的信息资产相关的威胁安全事件等安全态势首席安全官清晰地将安全态势信息传递给决策层有助于说明对信息安全措施进行投入的价值当然也需要将目前的成本与采取其他安全措施的成本和一旦发生安全事件造成的损失进行比较目前一旦发生安全事件所造成的损失要比合规性检查或审计没有通过的成本要大得多往往安全事件会让首席安全官丢了自己的工作同时影响到公司的声誉和效益威胁建模通过自上向下的方法来识别威胁和控制措施向首席安全官介绍需要考虑到的威胁建模技术第三部分也会描述威胁建模技术将所需保护的应用进行分解分析其攻击界面和面临的威胁所采取的相关对策差距及不足运用新技术移动应用以及云计算服务这些新的应用技术和平台也引申出了新的威胁和防护技术应用的变更也同样是风险源尤其是当一些新的或不同的技术都集成在同一个应用中随着应用的发展新的服务被提供给用户客户和雇员等更多的人这就需要我们去关注和处置如移动设备等新技术和云计算等新的服务方式所带来的安全弱点采用风险管理框架以评估新技术带来的风险是必不可少的以确定采取哪些控制措施来降低这些新风险的等级本指南将向首席安全官提供指引以应对由新技术的采用所有带来的新的威胁漏洞和风险移动应用风险举例设备遗失或被窃恶意软件多路通信信道泄露弱身份认证措施举例制定移动安全标准通过审计来评估移动应用中的弱点安全配置以及个人设备中的应用数据风险举例社交媒体的安全内容管理第三方技术和服务的安全措施举例安全验证码在提交和交易确认过程中使用特殊的安全令牌云计算服务风险举例多租户部署云计算部署带来的安全问题第三方风险数据泄漏来自内部恶意的拒绝服务攻击措施举例云计算安全评估对云计算供应商的合规性审计人员尽职调查存储和传输过程中的加密监控目前的攻击者威胁代理更多是为了经济利益去攻击应用以获取敏感数据和公司内部的信息以及通过欺骗方式获得竞争优势信息例如网络间谍从而损害用户利益为了降低这些攻击者威胁代理所带来的风险有必要确认风险的接受水平安全事件发生的可能性及影响识别应用漏洞可能被利用的场景这些弱点一旦被利用会对组织和业务造成严重影响郝轶第三部分应用安全计划从整个风险管理策略来看应用安全风险的缓解不是一次性的而是一项持续的活动需要密切关注新出现的威胁并规划和部署新的安全措施以消减这些新威胁包括规划采取新的应用安全活动流程控制措施和培训在规划新的应用安全流程和控制措施时对于首席安全官而言为了实现业务使命了解在哪个应用安全领域进行投资是非常重要的要建立和发展一个有效的应用安全计划首席安全官们必须映射业务优先到安全优先使用安全计划的能力成熟度模型评估当前的状态使用安全计划的能力成熟度模型建立目标状态映射业务优先到安全优先所有的安全优先级必须能够映射业务重点这是致力于建立所有安全倡议的重要性并展示企业管理安全性如何支持业务的第一步它还向安全人员演示了工作人员如何支持这种使命使用安全计划的成熟度模型评估目前的状态访问过程成熟度是通过应用安全和软件安全过程的先决条件常被组织采纳的标准之一是考虑组织在应用安全领域的能力和组织在这些领域操作的成熟度这些应用程序安全领域的例子包括应用安全治理脆弱性风险管理合规性和应用安全工程如设计和实现安全的应用程序特别是在应用安全工程的情况下采用软件安全保障往往是必要的而没有实施这类软件安全性是因为它由第三方供应商直接控制生产在这种情况下要考虑的一个因素是使用成熟度模型来衡量软件的安全保证采用安全软件开发生命周期测量软件的安全保证是一个先决条件在高级中包含软件开发生命周期内的培训和工具中构建安全的安全活动这些活动的例子可能包括软件的安全流程工具如构建风险分析威胁建模代码的安全性评价静态源代码分析应用安全测试应用漏洞扫描和软件开发人员安全编码软件保证成熟度模型以及几个专用于软件安全的项目和和本指南都可以做为参考使用安全计划的成熟度模型建立目标状态并非所有的组织都需要达到最高的成熟度成熟度应该维持在一个能够管理影响业务的安全风险的水平显然这在不同的组织之间有所不同变化并且这和业务有关以及能接受的作为来自安全组织的持续合作以及透明度的一部分的风险有关一旦目标状态是确定的应该建立一个确定其解决已知问题的战略以及检测和减轻新的风险的路线图提供了几个项目和指南来帮助制定和实施应用安全计划除了阅读本节中的指南请参阅附录指南和项目高效参考可以获得能够纳入应用安全计划的安全工程领域的活动类型的详细信息贺新朋第四部分管理风险及应用安全投资度量一旦应用安全和软件安全投资建立来测量和报告应用安全计划在治理风险和合规性执行管理的现状是非常重要的此外需要证明应用安全计划投资及其对业务风险影响的有效性还需要度量管理和监控人员流程和技术弥补应用安全计划例如衡量治理也包括风险和应用安全流程的合规性等指标安全度量分为三类应用安全过程度量应用安全风险的度量在软件开发生命周期的安全指标应用安全过程度量这些支持通过明智的决策来决定哪些地方需要集中的风险缓解工作和更有效地管理应用安全风险这些风险管理的目标通常是与组织有业务往来的特定组织和依赖于组织机构的类型和行业部门以决定哪些应用安全风险应优先采取行动对组织适宜的安全政策技术标准和行业惯例效果如何我们如何贯彻执行安全通过应用程序部门还是渠道应用安全风险度量脆弱性风险管理度量什么是在年度基础上的平均修复时间按月按应用按部门有哪些过程