超级会员免费看
构建更优风险模型:应用威胁建模的价值与实践
在当今数字化时代,应用程序面临着各种各样的安全威胁。这些威胁不仅受到环境因素的影响,还受到攻击者动机的驱动。社会经济条件可能为攻击应用环境创造有利时机,从而带来更大的成果或更高的成功概率。因此,评估这些因素并结合技术威胁分析,对于应用程序所有者提高防范准备水平至关重要。
1. 应用安全面临的挑战
当前,应用安全面临诸多问题,这些问题严重影响了对应用风险的准确评估和有效应对。以下是应用安全失败的一些关键原因:
|序号|原因|
| ---- | ---- |
|1|感知威胁与实际威胁之间存在差异|
|2|当前威胁与现有预防措施之间存在差距|
|3|对软件攻击利用的误解|
|4|更多地使用检测/反应式应用安全控制,而非预防性安全控制|
|5|无法按设计和预期应用安全控制|
|6|参与软件开发或其他关键领域的非安全专业人员安全知识有限|
|7|应用安全采用一维方法|
|8|无法考虑内部人员攻击|
|9|受恐惧、不确定和怀疑(FUD)因素的误导|
|10|将一般安全原则应用于特定的应用安全问题|
这些因素在不同程度上影响了应用风险的准确描述,进而限制了从已识别的应用风险因素中得出业务影响的能力。恐惧使得许多组织在应对应用安全问题时变得低效,陷入高风险修复队列和合规差距中。企业往往采取被动反应式的安全策略,而不是战略性的方法来减轻应用风险。
2. 威胁建模的商业案例
威胁建模通过预防性、战略性的方法来实现一定程度的风险缓解,为企业带来了多方面的好处:
- 业务
订阅专栏 解锁全文
扫一扫
18万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
