由于攻击者日益狡猾,定位和测试Web应用的人工方法已远远不够。适当的Web应用扫描方案可帮助企业系统性地发现运行在企业网络中的Web应用,判定这些应用是否易于遭受攻击,还有助于企业理解如何修补漏洞同时又能保护业务。使用当今精确的自动化扫描技术,不管应用数量有多大,企业都可以测试所有Web应用(包括开发中和正在使用的)。那么,企业在选择Web应用扫描方案时关注需哪些特性和功能?
本文重点关注如何选择架构的问题,或可为企业提供选择的最佳方法:
1.Web应用扫描方案是一个软件产品还是一种云服务?
企业安装在网络中的Web应用扫描软件要求企业购得、配置、管理服务器,运行备份和处理补丁更新等问题。而现代的基于云的Web应用扫描方案(或称软件即服务SaaS)并不要求企业投资购买设备,也不需要持续的更新、备份数据库。这种方案通过浏览器即可使用,并可轻松地扩展从而解决新应用、新用户和位置问题,而且其使用成本也更加可预测。此外,基于云的方案还支持以客观的防篡改的方法来存储数据。
2. Web应用扫描方案可以扫描各种Web应用吗?
当今的Web应用扫描方案应当用于企业应用生命周期的各个阶段(开发过程,测试过程或生产应用过程)。现代的Web应用扫描方案应当可以使用户扫描并跟踪企业的所有应用(内部应用和面向互联网的应用),因而,企业使用一种工具就可以获悉企业所有应用的统一的安全状况。
3.能否多人同时使用Web应用扫描方案?
现代的Web应用扫描系统应当可以同时向不同的人提供不同应用的相关信息。对企业而言,寻找一款易于使用并允许多人同时扫描和报告并且彼此不冲突的Web应用扫描方案是很重要的。
4. Web应用扫描方案如何处理多位置问题?
如何处理多位置是Web应用扫描方案出现差异的重要方面,这有三种方案或技术:
本地产品:公司将Web应用扫描软件安装到内部网络上,用来扫描网络内的应用。这种产品一般会在企业网络较慢的部分或容易拥塞的部分产生瓶颈,或在通过防火墙到达互联网应用时产生瓶颈。
基本型SaaS:有些Web应用扫描方案仅能检查外部的面向互联网的应用,这一点在选择是要注意。
云服务:来自云的现代Web应用扫描方案可以同时扫描多个位置的应用。这些方案相对安全,并使用可远程管理的扫描器(物理设备或虚拟机),企业可将其安装在企业网络的不同部分,因而可以进行内部的高效扫描,并使其对其它系统的影响最小化。
5.企业是否应牺牲防火墙的部分功能?
企业绝不应当为了部署Web应用扫描方案而开放公司防火墙上的特殊端口,因为这样做会破坏企业的安全性。
6. Web应用扫描方案与其它系统集成吗?
Web应用扫描器可以成为其它安全和合规系统的一个关键的安全情报源。企业应当选择可与流行的Web应用防火墙集成的解决方案,当然还要有强健的应用程序编程接口(API)可以与企业的安全信息和事件管理(SIEM)或风险管理(ERM)相集成。
