3S Labs Banner

Thursday, November 6, 2014

Developing an Effective Strategy for Application Security

Web Application security is perhaps the most common and frequently discussed topic among researchers, small businesses as well as large enterprises. The primary reason is that, it has long overtaken network in being the most commonly attacked layer in a given IT infrastructure. Network and Operating System security has matured to a certain extent. Combined with various OS level hardening mechanism, the traditional attacks against network services has largely been mitigated or has become significantly costly. However, when it comes to web applications, for some reason, it appears that similar maturity in terms of risk mitigation is not achieved yet. Despite multiple WaF products and other security solutions for Web App security, the number of incidents related to compromise of organisation and its data by exploiting issues in web application has only increased in recent times.  For this reason, a different strategy or approach is required in order to safe guard web applications and implement a practice that encourage secure web application development.

Let Numbers Speak for Themselves


In order to better visualise the changing (or perhaps changed) Threat Perception in application and its associated infrastructure, let us consider the case of a Web Server and two web application development framework that is very popular among enterprise application developers - SpringSource Spring and Apache Struts. The statistics reveal that the number of vulnerabilities in the web server software itself is on a reducing path. The actual threat perception is significantly low compared to the numbers due to the existence of various OS level mitigation strategies that makes exploitation of memory corruption and other similar issues in web server process extremely costly/difficult. However, for web applications, the vulnerability classes are significantly different from those mitigated at OS level. New techniques and ease of exploitation has greatly increased the threat perception for web applications and web application development frameworks. Apart from common vulnerability classes, business logic vulnerabilities are another important issue that affects a lot of web applications.

Statistics for SpringSource Spring Framework

Statistics for Apache Struts Framework
Vulnerabilities in popular web application development frameworks are particularly critical due to the widespread impact. Since large enterprise applications are not easy to upgrade due to multiple dependency, vulnerabilities in framework software are extremely critical for such application and must be mitigated if not patched immediately.

Evaluating The Application Security Maturity


There is no single strategy that can help all organisations define a suitable approach for application security. There are various models, however, a carefully chosen model has to be customised and adopted based on the current posture, need and roadmap of any given organisation. Therefore, in order to define a suitable policy, it is very important to evaluate and ascertain the current application security maturity level of an organisation. This can be done to a certain extent by asking few questions:

  1. Is application penetration test (or VA as widely called) conducted regularly on all important applications?
  2. Are the same vulnerability classes for e.g. SQL Injection or CSRF detected every time a security test is conducted?
  3. Is there a training and evaluation program for developers?
  4. Is enforcement of secure coding guidelines implemented in IDE (or similar) level?

[1] The above questions helps in ascertaining the current security posture of an organisation as well as, to some extend, provides a direction for improvement in application security maturity. For example, if you have never done a Penetration Test on your applications, there is probably no need to immediately think of high level security policies or strategies, rather the organisation should focus on initiating regular security testing practices. [2] On the other hand, if you have been doing Penetration Testing for some time, however every time the same classes of vulnerabilities are discovered in different applications or newly implemented features, perhaps its time to think about the effectiveness of the strategy and its RoI. [3] & [4] are strategies that need to be adopted in order to avoid recurring vulnerabilities of similar classes.

Towards an Effective Strategy for Application Security Maturity


A good strategy for implementing or improving application security in an organisation should consists of at least the following:

  • Regular security testing of all applications against commonly occurring and newly discovered vulnerabilities.
  • Comprehensive security test covering maximum functionalities and business logic must be done for at least business critical applications if not all.
  • Vulnerability intelligence - Identify which classes of vulnerabilities has been detected the most in applications. Also identify if similar classes of vulnerabilities are introduced in newly developed applications and/or features.
  • Developer training on how to fix, avoid and mitigate security vulnerabilities is a must. This helps in ensuring that similar vulnerabilities are not re-introduced in future development efforts.

In general, the security strategy for most organisation is reactive in nature i.e. we react to discovered vulnerabilities by patching or mitigating the threat via. workarounds. For organisation with greater threat perception, this cannot continue for ever! An organisation must develop a security roadmap that consists of moving forward - Reactive to Proactive and finally towards Predictive.

For almost a decade, implementing security in an organisation usually started with a VA or PT, followed by patching of discovered issues. However, due to the nature of current threats and skill level of adversaries, it is not enough to continue fixing issues discovered during VA/PT. This method just don't scale and becomes almost unmanageable for large organisations with wide range of assets. It is important for an organisation to be more proactive where it mitigates common classes of vulnerabilities and work towards a better security development life-cycle where common security issues are avoided at design and development stage only.

Some of the points that should be considered while developing an application security strategy:

  • Regular security testing
  • Vulnerability management & intelligence
  • Security as a part of Development/SDLC
  • Developer training and skill development
  • Operational Security (secure deployment and management of apps)




43 comments:

  1. This blog provides useful information about new techniques and concepts.very impressive lines are given which is very attractive.
    informatica training in chennai

    ReplyDelete
  2. I am expecting more interesting topics from you. And this was nice content and definitely it will be useful for many people.

    Email Marketing Chennai

    ReplyDelete
  3. Thanks for giving great kind of information. So useful and practical for me. Thanks for your excellent blog, nice work keep it up thanks for sharing the knowledge. tile bonder manufacturer in delhi

    ReplyDelete
  4. led lawn lights in delhi
    Thanks for giving great kind of information. So useful and practical for me. Thanks for your excellent blog, nice work keep it up thanks for sharing the knowledge.

    ReplyDelete
  5. Bharat CSP is nothing but a business contributor and technology services provider to different kind of banks. Online Bank CSP Registration, Official Site for apply online CSP. Start Your Business. Mini Bank & Start Earning from 1st Month Low Investment Easy Process..

    Apply CSP
    CSP registration
    CSP provider
    Top CSP Provider in India
    Apply Online For Bank CSP
    Online Money Transfer

    ReplyDelete
  6. A large number of people, particularly the migrant laborers and factory workers do not have a saving account and even not able to open an account due to lack of valid address and ID proof. As a result they face difficulties to save their earnings in a safe place and look out for solution to send money to their families.

    CSP Apply
    CSP Online Application
    Apply for CSP
    Top CSP Provider in India
    Apply Online For Bank CSP
    Online Money Transfer

    ReplyDelete
  7. Indian Web Designers fast-growing website designing company in Delhi intend to create a website on your request according to your specifications.
    Web Design Company in Delhi
    Digital Marketing company in india

    ReplyDelete
  8. Energy Saving Sensors Made by Highly Components Pvt. Ltd. - Which is the leading company in the field of Security related products in India. The company has achieved an unrivalled position in the market by introducing PIR Motion Sensors for automatic control of lights apart from other Security Sensors. Energy Saving Sensors in New Delhi
    Smoke Alarm Sensor

    ReplyDelete
  9. Женская сумка это поистине предмет искусства. Дизайнеры не устают экспериментировать с текстурой и формой, ваяя невероятные сумочки из разных кож. Ну и вместе с этими будоражащими воображение остаются неизменно топовыми классические силуэты из кожи, красивые и подкупающие непосредственной элегантностью и высоким стилем. Лучшая натуральная кожа, отборная фурнитура, опыт и влияние последних стилей российской моды вдохновляют создаетеле купить сумку недорого на создание лучших идеальных коллекций. Лучшим откровением стала зеленая кожаная сумка. Украшенная стильными кругами из медных клепок, - она станет лучшим дополнением твоего наряда! Выбирайте пастельную пудровую, чтобы бысть стильной и заслужитьмужские взоры.

    ReplyDelete
  10. Основные варианты ворожбы возникли тысячи лет назад до Н.Э. Природные происшествия или обрядовые приношения животных в дар за многие годы сформировали определенное толкование обнаруженного. Гадание онлайн на рунах на отношения значится самым практичным действием предсказать судьбу человека.

    ReplyDelete
  11. Плитку saloni eucalypt изготовляют в целом из естественных материалов. Плитку можно монтировать в залах организаций столовых, в школах и детских садиках. Экологически безвредный материал, целиком безопасен для проживающих.

    ReplyDelete
  12. Гадание на таро принимаем правильное решение значится максимально вероятным действием нагадать грядущее личности. Естественные явления или церемониальные жертвоприношения со временем создали конкретное разъснение увиденного. Изначальные способы гадания родились за несколько тысяч лет до нашей эры.

    ReplyDelete
  13. Необходимо помнить, что проект casino x com мобильная версия зачисляет своим гемблерам дополнительные бонусы. Дополнительный счет позволяет загрести много денежных средств. Регистрируйтесь на главной странице и забирайте полезные вознаграждения в личном кабинете.

    ReplyDelete
  14. Имейте в виду, что казино х официальный сайт регистрация ни за что не спрашивает денежных средств за выполнение операции верификации гемблеров. Техническая служба в любой момент поможет советом и мгновенно решит самую тяжелую проблему. Подтвердить оригинальность игрового сервиса можно на официальной странице casino-x-oficialniy-sayt.com.

    ReplyDelete
  15. Наилучший выбор плитки может преобразить всякую коридор или санузел. Сконцентрируйтесь не только на напольной плитке зарубежного выпуска, но и на отечественные образцы. Отбирая качественный стройматериал как mainzu verona decor zen verde необходимо рассмотреть максимальное число материалов. Керамическая очень хорошо подходит к любому интерьеру.

    ReplyDelete
  16. Выбирая недорогой товар как например https://rybolovnn.ru/communication/forum/user/30196/ без всяких сомнений придется разобрать множественное число типов. Кафельная очень хорошо подходит к любому интерьеру. Наилучший выбор настенного покрытия способен украсить любую перегородку или ванную комнату. Сконцентрируйтесь не только на керамогранитной плитке иностранного производства, но и на отечественные образцы.

    ReplyDelete
  17. Выбор материалов, выставленный в каталоге legendagres.ru https://volsu.ru/forum/index.php?PAGE_NAME=profile_view&UID=24241, поистине широк. Самыми важными элементами для производства являются каолин и несущественное количество прибавок, меняющих тон и микроструктуру. Созданием керамогранитной плитки занимаются многие компании в мире.

    ReplyDelete
  18. С целью регистрации заказа на икру в нужном объеме достаточно позвонить менеджеру или сделать удаленный заказ сразу на портале redgmshop.ru. Поставка выполняется именно указанное время. Купить рыбные продукты http://whdf.ru/forum/user/37837/ имеется возможность в поштучно или небольшими партиями.

    ReplyDelete
  19. Куриное филе – максимально популярный продукт в обществе. Мягкий аромат и легкий способ готовки вкусного кушанья – достичь результата возможно благодаря поэтапному руководству. По сути, на любом столе легко лицезреть поджаренную курицу. К слову, увидел незаезженный рецепт сытных куриных крылышек на странице итальянское рагу "пепосо".

    ReplyDelete
  20. Наиболее элементарный случай – на любой кухне непременно имеется электрочайник. На портале маркетплейса Maksiden возможно выбрать мантоварка для индукционной плиты купить в москве по наиболее выгодной цене. Кухонный инвентарь правильно символично разделить на 2 крупные категории – декоративные и используемые на практике, для будничного использования.

    ReplyDelete
  21. Лишь на информационном портале https://biletynapoezda.ru/belgorod-chelyabinsk/ клиенты имеют возможность выкупать билеты онлайн. Самостоятельно организовывайте направление пути и время отбытия Ж/Д состава. В данный момент каждый желающий имеет возможность своими силами распланировать персональную поездку без непредвиденных переплат.

    ReplyDelete
  22. На странице портала MegaMag посетители могут приобрести купить набор эмалированных кастрюль в москве. Широкий сортамент вещей для дома и спорт принадлежности по наиболее низкой стоимости. Выбирайте требуемые аксессуары высочайшего качества от проверенных поставщиков.

    ReplyDelete
  23. Морские деликатесы являются лучшим источником качественного белка и приносящих пользу полезных веществ. Дары моря в частности полезны малышам и спортсменам. Рыбные продукты считаются ценнейшим источником кальция для растущего организма. Лишь в онлайн-магазине https://redgmshop.ru/shop/ikra/chernaya-ikra/ вы можете найти продукт высокого качества!

    ReplyDelete
  24. Иностранному студенту нужно в пределах 15-20 тысяч $ каждый год на учёбу, количество может меняться от города, где проходит образование. Институты США не обеспечивают бюджетные места студентам из других государств. Поступающие из иных государств пройдут подготовку в Соединенных Штатах Америки именно заплатив за все обучение. Всего лишь в силу https://newspotok.ru/2021/04/24/obrazovanie-v-ssha-pomosch-v-postuplenii-ot-kompanii-infostudy.html вы сможете получить отличное обучение и стартовать выгодную карьеру. Особо сильные поступающие смогут рассчитывать на частичную льготу в обучении.

    ReplyDelete
  25. Для большого количества претендентов обучение в университетах Америке может показаться недостижимой целью. Достаточно лишь оформить пакет нужных бумаг для обучения. В то же время реально предоставлять заявления в сколько угодно колледжей. Детальный перечень документов для вступления очень легко отыскать на основной странице сайта «Инфо Стади» как поступить на бакалавриат в сша.

    ReplyDelete
  26. Продемонстрировав сносный уровень навыков ты без труда поступит в учебные учреждения Канады. Подготовить заявления на поступление и сдачу главных тестов, студенту необходимо написать в фирму «Инфостади». Студенту понадобится сдать языковые курсы для поступления в высшие учебные заведения Канады. https://newspotok.ru/2021/04/23/chastnye-shkoly-v-kanade.html считается лучшим способом качественного прохождения тестов.

    ReplyDelete
  27. Битки для бокса на совесть защитятсохранят твои руки от травмирований во время упражнений. Выступая на любых спортивных соревнованиях вам в любом случае нужны купить вешалку стойку для одежды напольную, купить которые элементарно в онлайн-магазине Яндекс. Спортивные занятия – это лучший способ укрепить собственное здоровье.

    ReplyDelete
  28. Чаще всего смоляно фенолформальдегидную фанеру используют как наружный отделочный материал. Для внутренних действий использовать ФСФ плиту возбороняется - будут выделяться посторонние вещества при конкретных условиях. Влагонепроницаемый тип абсолютно не впитывает влагу, а после просушки не трансформируется. Фанерный лист ФСФ - это влагостойкий тип фанеры, получивший обширное распространение в строительстве https://xn--80aao5aqu.xn--90ais/.

    ReplyDelete
  29. Множество посетителей заявят, что обычные полотенца брать наиболее выгодно, чем стационарные сушки, к примеру, купить сушилку для рук. По большей части, поток воздуха сможет высушить мокрые руки клиента за несколько минут. Стоит представить основные преимущества, какие увидят пользователи и владельцы учреждений общепита, устанавливая воздушную сушилку.

    ReplyDelete
  30. Проследить местоположение входа в инет по средствам ТОР абсолютно нет возможности. При помощи интеллектуальной защиты юзер может без заморочек смотреть полезную информацию в Глобальной сети http://0517whg.cn/home.php?mod=space&uid=9434. Присутствует большое множество защищенных веб-обзорщиков, что в режиме реального времени предотвращают попытки кибератаки вашего ПК или телефона. Веб-обозреватель для интернета ТОР работает с заходом на очень большое количество интерактивных серверов.

    ReplyDelete
  31. На телефоне человека, в общем случае, лежит необходимая финансовая информация, каковая и есть замыслом злодеев. Собрав необходимую информацию о владельце ПК, мошенники будут использовать материалы в корыстных целях. В основном крадут данные о кредитных картах человека, либо же почты от разных сервисов http://kharkovforums.com/showthread.php?p=1217062. Особенную угрозу имеют шпионы для популярнейших продвинутых девайсов.

    ReplyDelete
  32. На площадке гидра воронеж всегда есть работа хоть для юных копирайтеров. Благодаря копирайту элементарно получить неплохие деньжата. На подобных площадках заказчики формируют особенные задания, выполнив которые работник получает монеты на персональный айди учетной записи. Биржи фриланса – это наиболее простой любому человеку способ добиться прибыли в глобальной сети.

    ReplyDelete
  33. Оригинальностью абсолютно любой криптовалюты есть её свобода от гос корректировщиков. На современном проекте http://kondicioner-mariupol.com.ua/index.php?subaction=userinfo&user=onaliqe инвестор может найти точные данные об интересующих криптомонетах. Возможности альтернативных валют реально немыслимы, за перспективным видом оплаты будущее.

    ReplyDelete
  34. Подзаработать на альткоинах довольно просто. Показатели http://rxjhbabybbs.com/home.php?mod=space&uid=6698 непреклонны, что криптовалюты уже по факту не выйдут из обихода. Найдя незначительное количество коинов, после определенного времени их можно будет еще дороже.

    ReplyDelete
  35. Оформить сделку на получение ссуды можно в приемлемый для клиента час, после связи с менеджером финансового учреждения РОСЗАЙМЫ РУ кредит урал. В общей сложности оформление контракта длится не больше чем 10 минут. Указанная сумма денежных средств будет отправлена на электронный кошелек на протяжении одного дня. Обязательно вводите реальный мобильный номер и электронку – это позволяет сотруднику МФО незамедлительно выйти на связь с клиентом для уточнения деталей договора.

    ReplyDelete