雖然應(yīng)用程序安全有許多途徑，但允許安全團(tuán)隊(duì)快速輕松地保護(hù)應(yīng)用程序并以自助服務(wù)方式影響安全狀況的捆綁包正變得越來越流行。

?有趣的是，這么多的推銷實(shí)際上是所售產(chǎn)品或服務(wù)的功能列表，這很有趣的原因是，對(duì)于任何在客戶方面工作過或聽過客戶意見的人來說，很明顯客戶購買的是解決方案，而不是產(chǎn)品。因此，通過喋喋不休地列出一大堆功能來炫耀你對(duì)你的產(chǎn)品有多自豪的想法對(duì)我來說總是有點(diǎn)奇怪。

換句話說，客戶有許多他們希望解決的不同問題、問題和挑戰(zhàn)。他們不一定對(duì)您的產(chǎn)品或服務(wù)可以做的所有不同事情感興趣。相反，他們有興趣了解您的解決方案如何幫助他們解決戰(zhàn)略重點(diǎn)，并朝著他們?yōu)榘踩推墼p問題設(shè)定的目標(biāo)前進(jìn)。供應(yīng)商有責(zé)任了解這一點(diǎn)，并讓潛在客戶更容易理解該映射。

按照這些思路，提高應(yīng)用程序安全性是客戶的共同目標(biāo)。正如您想象的那樣，任何旨在提高應(yīng)用程序安全性的解決方案都將非常復(fù)雜，由許多不同的活動(dòng)部件組成。因此，強(qiáng)迫客戶在您的產(chǎn)品數(shù)據(jù)表和概述中尋找他們需要的組件并不是讓這些客戶相信您有他們可能在市場(chǎng)上需要的解決方案的有效方法。

那么供應(yīng)商如何才能讓客戶相信他們擁有值得客戶花時(shí)間評(píng)估的解決方案呢？對(duì)于初學(xué)者，他們可以將各種功能捆綁到用例中，這些用例可以輕松地向客戶演示、評(píng)估和使用。按照這些思路，圍繞流行的應(yīng)用程序安全保護(hù)用例的捆綁包會(huì)是什么樣子？

雖然不是詳盡的清單，但這里有一些想法：

• 應(yīng)用程序代理：在應(yīng)用程序前面放置代理可能是最基本的應(yīng)用程序安全要求之一，并且有充分的理由。有了中介，我們就可以檢查和監(jiān)控進(jìn)出應(yīng)用程序的流量，并根據(jù)安全目的進(jìn)行必要的阻止或過濾。
• 速率限制和快速訪問控制列表 (ACL)：淹沒站點(diǎn)是攻擊者的老套路。這是一種原始但有效的策略。速率限制是防止此類攻擊的一種相對(duì)直接的方法。同樣，快速執(zhí)行的訪問控制列表 (ACL) 是阻止不需要的流量的另一種有效方法。
• 路徑發(fā)現(xiàn)：將機(jī)器學(xué)習(xí) (ML) 應(yīng)用于環(huán)境中的流量，使我們能夠跟蹤請(qǐng)求速率、訪問應(yīng)用程序的客戶端身份、發(fā)送的有效負(fù)載的大小以及其他重要的遙測(cè)元素。使用 ML 可以讓我們?cè)趷阂饬髁孔兊酶鼑?yán)重之前識(shí)別并阻止它——通常在幾分鐘而不是幾小時(shí)內(nèi)。
• Web 應(yīng)用程序防火墻： WAF 已成為應(yīng)用程序提供商所需的技術(shù)，應(yīng)作為任何應(yīng)用程序安全包的一部分包含在內(nèi)。
• L3/L4/L7 DDoS： DDoS 保護(hù)也已成為應(yīng)用程序提供商的要求，也應(yīng)作為任何應(yīng)用程序安全包的一部分包含在內(nèi)。
• Bot 防御：知道如何繞過上面列出的防御的高級(jí) bot 可能會(huì)導(dǎo)致應(yīng)用程序提供商遭受金錢損失和聲譽(yù)損害。因此，機(jī)器人防御也應(yīng)作為應(yīng)用程序安全包的一部分包含在內(nèi)。
• 自動(dòng)證書：部署應(yīng)用程序的速度對(duì)于保持競(jìng)爭(zhēng)力至關(guān)重要，保護(hù)這些應(yīng)用程序的速度也是如此。自動(dòng)頒發(fā)證書和為資源自動(dòng)注冊(cè) DNS 的能力可以節(jié)省時(shí)間，使應(yīng)用程序提供商可以在幾分鐘內(nèi)從無保護(hù)轉(zhuǎn)變?yōu)槿姹Ｗo(hù)。
• 惡意用戶檢測(cè)：機(jī)器學(xué)習(xí) (ML) 的另一個(gè)重要應(yīng)用是快速了解哪些用戶和模式似乎有惡意行為。這通常需要應(yīng)用程序提供商花費(fèi)數(shù)小時(shí)或數(shù)天才能確定。使用 ML，這可以在幾分鐘內(nèi)完成，從而使這些應(yīng)用程序提供商能夠快速采取行動(dòng)并阻止/緩解。
• 客戶端防御：許多應(yīng)用程序提供商缺乏對(duì)最終用戶環(huán)境的可見性。檢查 JavaScript 的調(diào)用方式、請(qǐng)求的去向以及調(diào)用的第三方腳本的能力提供了重要的洞察力，這對(duì)應(yīng)用程序安全目的非常有幫助。
• URI 路由：快速輕松地控制某些請(qǐng)求路由到何處的能力使應(yīng)用程序提供商能夠阻止/控制特定端點(diǎn) (URI)。沒有這個(gè)重要的特性，任何應(yīng)用程序安全解決方案都是不完整的。
• 服務(wù)策略：快速簡(jiǎn)便的策略部署是應(yīng)用程序安全所必需的。根據(jù)需要根據(jù)需要將服務(wù)策略鏈接在一起的能力，以及生成自定義規(guī)則以引導(dǎo)流量或允許/拒絕超出其他防御功能能力范圍的流量的能力，是整個(gè)應(yīng)用程序安全包的另一個(gè)重要部分。
• 綜合監(jiān)視器：應(yīng)用程序的外部性能如何？我的客戶正在經(jīng)歷什么？這些是合成監(jiān)視器允許企業(yè)回答的重要問題，可以快速識(shí)別可能影響應(yīng)用程序的任何問題。
• TLS 指紋和設(shè)備識(shí)別：雖然 IP 地址經(jīng)常變化，但 TLS 指紋和設(shè)備標(biāo)識(shí)符很少變化。因此，在涉及應(yīng)用程序安全時(shí)，基于它們而不是 IP 地址的策略和規(guī)則很有意義。
• 跨站點(diǎn)請(qǐng)求偽造保護(hù)：跨站點(diǎn)操作的腳本會(huì)給應(yīng)用程序提供商帶來嚴(yán)重的問題。因此，減輕它們存在的風(fēng)險(xiǎn)也應(yīng)該成為任何應(yīng)用程序安全包的一部分。

保護(hù)應(yīng)用程序是幾乎所有企業(yè)的首要任務(wù)。雖然應(yīng)用程序安全有許多途徑，但允許安全團(tuán)隊(duì)快速輕松地保護(hù)應(yīng)用程序并以自助服務(wù)方式影響安全狀況的捆綁包正變得越來越流行。這些捆綁包通知應(yīng)用程序提供商，并允許他們做出更好、更明智的決策來改善安全狀況，而不會(huì)給最終用戶帶來不必要的摩擦。