需要为AppSec制定专门的事件响应计划吗？

发布时间：2025-12-07 15:01:18 作者：玩站小弟

2022年，大量企业组织开始关注AppSec应用程序系统的安全性），并将其作为保障组织数字化转型发展的推动因素。而在此前，AppSec往往被视为阻碍业务系统快捷运行的一种障碍。通过正确实施AppSec 。

2022年，制定专门大量企业组织开始关注AppSec（应用程序系统的应计安全性），并将其作为保障组织数字化转型发展的制定专门推动因素。而在此前，应计AppSec往往被视为阻碍业务系统快捷运行的制定专门一种障碍。通过正确实施AppSec计划，应计不仅可以保障企业业务的制定专门稳定开展，而且可以避免安全攻击导致的应计财产和商誉损失。不过有安全研究人员表示，制定专门为了在2023年提高应用程序的应计安全性，企业组织应该为AppSec制定专门的免费模板制定专门事件响应计划。

AppSec威胁形势严峻

2022年初爆发的应计Log4j漏洞，让很多企业陷入了业务系统应用防护的制定专门困境，这突出表明了目前大多数的应计组织还不熟悉应用程序的构成组件，也没有找到在应用开发过程中保证安全性的制定专门方法。据Sonatype最新发布的AppSec态势研究报告研究认为，2023年的AppSec威胁形势将依然严峻，很多企业需要与不安全的应用程序、模板下载脆弱的软件组件以及易受攻击的云服务开展斗争。

报告数据显示，软件供应链攻击在2021年快速增长了633% ，其中有41%的应用程序组件还是易受攻击的版本。与此同时，随着企业组织将IT基础设施迁移至云端，并采用更多的Web应用程序，这导致对API使用快速增长，平均每家企业使用了15,600个API。这也使得企业中的源码库员工成为可被利用的攻击路径。攻击者可以通过勒索软件、恶意软件、网络钓鱼和诈骗等诸多手段，通过普通员工的人为错误达成攻击企图。

在2022年，有83%的受访企业遭受了基于电子邮件的网络钓鱼攻击，这很容易导致凭据失窃，继而危及Web应用程序和云基础设施。西班牙桑坦德银行（Banco Santander）网络安全研究全球主管Daniel Cuthbert认为，通过一些非常简单的社会工程技术就可以绕过企业多层应用安全措施，高防服务器实现访问敏感数据、系统和网络的攻击目标，而对此的防范措施还很不完善。

除此之外，攻击者还专注于通过在网络边缘运行的许多安全控制来锁定应用程序。在2022年举行的Black Hat Asia会议上，研究人员就展示了通过WAF设备漏洞进行入侵攻击的方法。而在2021年12月，网络安全公司Claroty也同样演示了如何使用JSON绕过五款主流WAF产品进行模拟攻击。

制定专属事件响应计划

随着AppSec威胁变得越来越普遍，企业安全团队应该在应用系统安全事件响应方面做得更好。亿华云通过制定专门的AppSec事件响应计划，企业可以更好地应对AppSec威胁，为各种可能出现的应用系统攻击做好准备。主要原因包括：

软件开发成为新的攻击面：由于软件系统的研发速度不断加快，开发人员成为一个重要的攻击目标。根据供应链攻击防护的要求，企业安全团队需要对业务有更深入的了解，他们必须能够展示出具备数据管理和评估安全问题的领导力，云计算而不是在安全攻击发生后成为研发部门的负担；大规模灾难事件：供应链攻击通常是大规模灾难事件，可能在一次“攻击”中影响数千个组织。标准的安全事件响应计划通常不适用于需要外部协商的大规模应用系统安全事件。外部的安全专家们此时可能已经不堪重负，而企业组织却无法承担响应延迟的后果与损失；AppSec还是一个不成熟的领域：AppSec的重要性直到最近才得到企业组织的关注，这也是安全团队必须正视的客观现象，因此很多安全人员对这类威胁的认知并不全面。如今，随着应用程序攻击面不断扩大并在全球范围内相互交织，可用的解决方案和专有技术在能力上仍然存在不足；攻击者并不需要先进的技术：由于企业缺乏足够的工具来保护行业免受供应链风险的影响，并且现有的安全工具仍然不够完善。这对攻击者而言是非常有利的，一旦攻击成功，他们可以从数千个组织获得重要数据，而非一个组织。在防御方面，组织对通过CI/CD构建的应用系统缺乏可见性，对开发过程的可见性更少，这使得保护AppSec非常困难。

事件响应是一项专业的工作，涉及大量的资源和策略，并非一蹴而就的，每个AppSec事件响应计划都只适合特定的组织。以下是针对恶意应用系统攻击（如ESLint攻击）的基本AppSec事件响应清单示例：

检查CI日志，查看恶意包的具体使用情况；识别被恶意代码获取到访问权限的资产；识别所有可能受到损害的凭据，并在相关环境中更新/轮换所有凭据；识别所有提交了恶意包的相关开发人员，轮换相关凭据，并让安全或IT部门对其工作站进行调查；通知研发部门（R&D）存在恶意包嫌疑，相关密钥需要尽快轮换；审计对组织资产的所有访问。识别任何表明凭据使用被破坏的异常情况。在初始事件响应之后继续执行此步骤；在采取以上步骤的同时，企业管理层应该考虑并起草一份针对攻击事件的公开回应，并让所有利益相关者和部门参与进来，共同完成后续的事件处置工作。

参考链接：

https://www.darkreading.com/application-security/appsec-threats-deserve-their-own-incident-response-plan

https://www.darkreading.com/application-security/internet-appsec-remains-abysmal-requires-sustained-action-in-2023

Tag：

从“源头”保护数据安全：腾讯安全推出大模型隐私保护脱敏技术
大模型已经被广泛应用在各类场景，帮助人们进行报告摘要、文本翻译、数据分析、业务风控等各项工作，极大地提升了工作效率，但同时公众对于大模型带来的数据泄露的隐忧也从未停止。近日，腾讯安全玄武实验室披露了一
2025-12-07
医疗系统大事件：约三分之一的公民信息泄露
在今年二月份的一次网络攻击中，一家向医疗机构提供服务的公司Change Healthcare 遭遇勒索攻击。尽管支付了 2200 万美元的赎金，但这个每年 150 亿次医疗保健交易的公司估计，有三分之
2025-12-07
探索网络安全技能差距的根本原因
Skillsoft 的领导力与业务副总裁 Koma Gandy主张通过结合技术专长和关键技能的培训来满足不断发展的行业需求，并确保未来在网络安全领域的职业机会。导致网络安全技能差
2025-12-07
别让病毒毁了你的数据，用户必备的ClamAV扫描神器！
背景在Linux环境中，尽管由于其独特的权限管理和文件系统结构使得病毒感染的概率较低，但为了确保系统的安全性，尤其是在处理共享文件或邮件服务器时，安装和使用病毒扫描工具依然至关重要。ClamAV是一款
2025-12-07
2023年DevSecOps发展趋势
DevSecOps可能是一个相对较新的组合学科，指的是在软件开发生命周期的早期包含安全规划，以加强网络防御，但它将成为企业的一个至关重要的领域。2023年的主要趋势以下是我们预计2023年DevSec
2025-12-07
黑客利用新型Dropper在Windows上传播恶意软件
近日，Fortinet旗下FortiGuard实验室的威胁研究小组发现了一种新型安卓恶意软件投放器，负责传递最终有效载荷。由于它们通常包含一个波兰语字符串“Kolko_i_krzyzyk”，英语译为T
2025-12-07