新视角下应用安全双高风险治理之路-李磊.pdf

1、新视角下应用安全双高风险治理之路李磊22/9目 录外部篇：硝烟不止O1内部篇：千头万绪 O2实践篇：道法自然O3BeyondSecurity 2022年应用安全报告应用给企业带来的安全风险最高中，对公应用和办公应用的比例CISO认为企业最大的应用安全顾虑之一，是数据保护问题4444%6868%应用程序仍然是一个主要的攻击向量，web 应用程序是最常见的外部攻击形式Forrester2021年应用安全现状报告应用数据泄露T-Mobile因应用程序接口造成数据泄露Owasp Top 10 API安全风险应用安全发展史回顾疑问应用安全发展这么多年，投入那么多精力，结果为什么仍然显得不尽如人意？内部篇

2、：千头万绪 难点1-人少事多，覆盖面企业应用安全面临的难点企业风险处置面临的障碍难点2-全介入，颗粒度企业应用安全面临的难点Microsoft SDL 之七组件包括5阶段2活动DevSecOps 6阶段难点3-”生养“分离，不全面企业应用安全面临的难点无论是SDL抑或DevSecOps里面都提到了关键的安全活动，Response和Operate应用安全同学从那个点就开始不管了？难点4-孤军作战，单视野企业应用安全面临的难点漏洞数据难点5-缺少应用0Day防护能力企业应用安全面临的难点Log4J漏洞”内忧外患“形势严峻人少、事多、如何聚焦？总结实践篇：道法自然应用安全的本质是什么做应用安全，到底在做什么？应用安全与应用API安全应用安全Web API安全管理动作+技术动作应用安全与数据安全应用安全数据安全1+3+1+1数安治理框架，应用数据安全须贴合应用安全SDL来做应用安全的本质观点1.协防和联防，Focus2.不保证不出事、要保证不出大事高敏数据接口高敏权限接口API接口应用双高风险治理框架差异化推进横纵覆盖，不同阶段，关注不同重心横纵双闭环，全局运营化周期拉长，应用生命全周期闭环关注双高风险和控制措施