تلقى كل من مارك رالز ، رئيس ومدير العمليات في Acunetix ، دعوة من بول أسدوريان ومات ألدرمان للمشاركة في حلقة Enterprise Enterprise Weekly الأسبوعية 191 التي تم بثها في 22 يوليو 2020. وركزت الحلقة على تطور تطبيقات الويب للشركات وتأثير ذلك التطور على أمن الويب بشكل عام.
بعد مقدمة قصيرة عندما سُئل مارك عن تاريخه قبل الانضمام إلى Acunetix ، تركزت المناقشة لأول مرة على موضوع عام 2005. كان هذا العام علامة فارقة لتطبيقات الويب مع العديد من التقنيات الجديدة التي تم إطلاقها ، كما حدث أن يكون العام الذي كان فيه Acunetix تأسست.
بعد عام 2005 ، استمر التحول في نموذج الويب مع المزيد من التغييرات التي تؤثر على تعقيد الويب ، ونتيجة لذلك ، تعقد تعقيدها. في حين كانت واجهات برمجة التطبيقات في عام 2005 مجرد واجهات مخصصة تربط التطبيقات القديمة ، إلا أنها كانت في عام 2018 مسؤولة بالفعل عن 83٪ من زيارات الويب. أيضًا ، في عام 2005 ، لن تفكر الشركات في وضع البيانات والوظائف المهمة في السحابة. بعد 10 سنوات فقط ، قامت Netflix ببناء بنيتها التحتية بالكامل على AWS – مما يثبت قابليتها للتطبيق حتى في التطبيقات الأكثر كثافة في المعالجة.
يعتبر الانتقال إلى الخدمات الصغيرة من أكبر التحديات التي تواجهها الشركات التي تحاول مراقبة سطح هجومها. الخدمات الدقيقة لا بد من الحصول عليها إذا أريد إجراء التنمية باستخدام منهجيات رشيقة. في الوقت نفسه ، قسمت الخدمات المصغرة تطبيقات متجانسة سابقًا إلى خدمات ويب صغيرة للغاية ، وهي تطبيقات ويب بمفردها. والنتيجة هي: ما كان 30 تطبيقًا يتحول بسرعة إلى 3000 تطبيق ، وهو ما حدث بالضبط مع أحد عملاء Acunetix.
موضوع آخر ناقشه مارك هو تطور تصور DAST في مجتمع أمن الويب. كان يُنظر إلى أدوات DAST أولاً على أنها مفيدة فقط للمبتدئين – وذلك لأنها كانت مجرد ماسحات ضوئية يدوية بسيطة بدون قدرات إدارة أو تكامل. مع التوسع الهائل في سطح هجوم الويب ، مع بداية الخدمات الصغيرة وواجهات برمجة التطبيقات ، مع الانتقال الهائل لجميع التطبيقات القديمة إلى السحابة ، كان على أدوات DAST أن تتطور إلى حلول شاملة لإدارة ثغرات الويب وبعضها ، مثل Acunetix ، فعل.
ذكر مارك أن أدوات SAST هي تقنية ممتازة ولكنها مفيدة فقط عندما تعرف كل تطبيق لديك مع مالكه وموقع مستودعه. في المشهد الحالي للمؤسسة ، والذي يتم بناؤه غالبًا على عمليات الدمج والاستحواذ ، نادرًا ما يكون هذا هو الحال. تواجه CISOs أكبر التحديات المرتبطة بحقيقة أنها لا تدرك وجودها الكامل على شبكة الإنترنت. وهذه وظيفة أخرى يجب على حلول DAST الحديثة تطويرها: خوارزميات معقدة لاكتشاف جميع تطبيقات الويب المملوكة لمنظمة معينة.
باختصار ، وفقًا لمارك ، يجب أن نعيد تقييم الطريقة التي رأينا بها الأمن تمامًا في الـ 15 سنة الماضية.
https://www.youtube.com/watch؟v=sbARBvcPe98
احصل على أحدث محتوى حول أمان الويب
في بريدك الوارد كل أسبوع.