如何避免应用安全风险？（如何防范存在安全风险）

如何避免应用安全风险？（如何防范存在安全风险）

风险：安全人员对运行时监控工具的支持不足

风险：目光短浅的计划

RASP 和 WAF 二者都是仅仅在应用的核心增设一层防护，并没有帮助构建安全的应用程序。企业迟早都得面对这个艰难而又迫在眉睫的决定：是购买一个 RASP 补偿控制扩展程序以实现零日漏洞，还是从开发人员处寻求修复方法。中小型企业在权衡妨碍业务连续性与部署成本时，往往难以作出抉择。

你能做什么：设法充分预见长期利益，全面了解安全实现、产品及工具的局限性。详尽的威胁侦测，除了能保持企业对具体情境中的漏洞感知，也对防御战术进行了重点分析，并对威胁源与危险行为做了阐释。因此，缺少此类侦测的风险缓解计划是不够完整的。

风险：全权委托运行时监控

你能做什么：基本思想是人与技术保持同步。工具容易产生误报，且不能独自决定如何采取行动。安全专家需要不断地对工具进行监控，以解释复杂攻击的本质并将其从常规的性能测试流量中区分出来。

还有一个重要的结论是，尽管 RASP 可以使你的应用具备自我保护能力，但这也意味着它能诱使黑客深入存储栈，而可能还存在其他将黑客锁定在网络边界外部的方法。这种情况就需要安全顾问的指导，他会灌输鲁棒文化，通过多层安全基础措施来防止你的预算向单一且明显不严密的防御机制倾斜。

安全状态评估，从协助开发安全代码着手，通过一个成熟的风险管理计划，并以客制化的威胁分析作为强大后盾，给你带来各种好处。安全工具或许可以找出并阻止某些预定义的活动，人为渗透测试却可以打破陈规，并模仿那些尽其所能躲避标准入侵预防签名的攻击者。