|
一些人認(rèn)為,關(guān)于計算機(jī)的安全已由最初的物理安全���,隨后的網(wǎng)絡(luò)安全發(fā)展到現(xiàn)在的應(yīng)用安全�。這種說法有一定的道理�,我們看到,攻擊者已將攻擊目標(biāo)轉(zhuǎn)向Web應(yīng)用程序��,通過Web應(yīng)用程序漏洞���,黑客可以滲透到你最敏感的數(shù)據(jù)����,甚至滲透到數(shù)據(jù)庫。與此同時���,安全廠商們相應(yīng)地推出了諸如Web應(yīng)用防火墻(WAF)這樣專門保護(hù)Web應(yīng)用程序的產(chǎn)品���。這些產(chǎn)品是否有效?企業(yè)還應(yīng)該部署哪些解決方案來保護(hù)Web應(yīng)用程序��?近日��,本站記者在OWASP中國大會上�,采訪了Trustwave公司的副總裁Marc Shinbrood先生,就Web應(yīng)用程序安全的問題進(jìn)行了探討���。
虛擬補(bǔ)丁是創(chuàng)可貼
Trustwave公司的副總裁Marc Shinbrood先生
 什么是虛擬補(bǔ)������?它是一種可以使IT人員擺脫補(bǔ)丁管理困境的解決方案。虛擬補(bǔ)丁技術(shù)旨在通過控制受影響的應(yīng)用程序的輸入或輸出��,來改變或消除漏洞�。Marc解釋道,作為虛擬補(bǔ)丁的提供者�����,我們登錄一個網(wǎng)站�,查看該網(wǎng)站是否有問題和弱點,如果有����,我們將該問題或弱點稱為‘事件’,然后研發(fā)團(tuán)隊(Trustwave的研發(fā)部門是SpiderLabs)的工作就是將一個命令寫到WAF里�����,讓別人無法進(jìn)入該漏洞�,也就是讓黑客無法利用該漏洞做任何有害的事情。
“但這就像是一個創(chuàng)可貼�����,比如你有一個傷口����,你先用創(chuàng)可貼貼上,緊急補(bǔ)救一下�����,隨后你需要去醫(yī)院���,讓醫(yī)生把這個傷口縫起來��。”Marc補(bǔ)充道����。
虛擬補(bǔ)丁只應(yīng)用于WAF��?別的安全產(chǎn)品里可不可以使用���?
Marc表示���,Web應(yīng)用程序是實時的,可以及時打補(bǔ)丁�����。一般情況下,一個Web應(yīng)用程序的漏洞從發(fā)現(xiàn)到修復(fù)需要6個月的時間���,而在這段時間里���,黑客是不會靜觀其變的,所以及時打上補(bǔ)丁很重要�,這也就是虛擬補(bǔ)丁的重要性。它的好處一是����,可以在不影響應(yīng)用程序和其相關(guān)庫以及為其提供運(yùn)行環(huán)境的操作系統(tǒng)的情況下,為應(yīng)用程序安裝補(bǔ)丁���。二是����,如果一個應(yīng)用程序的早期版本已不再獲得供應(yīng)商支持�,則此時虛擬補(bǔ)丁是支持該早期版本的唯一方法。
虛擬補(bǔ)丁的意義在于它的及時性和差異性����,不是所有東西都需要虛擬補(bǔ)丁的。比如操作系統(tǒng)(OS)��,基本上操作系統(tǒng)在每個地方每個時間都是相同的�,你只需要定期從網(wǎng)站上下載安裝針對它的統(tǒng)一補(bǔ)丁即可。而Web應(yīng)用程序不同��,每一個Web應(yīng)用都是不同的��,比如Peoplesoft��,你怎么使用與別人怎么使用是不一樣的���,因此需要及時的有針對性的修補(bǔ)�。
誰是醫(yī)生��?
Marc表示�����,他們在提供創(chuàng)可貼的同時�,也是醫(yī)生。“作為一個醫(yī)生��,我們會告訴病人我們看到了什么問題�,這個是你的診斷書,怎么處理可以自己決定���。你是想做一個手術(shù)����,還是每天早上吃藥?”
“就我們公司而言�����,我們提供了易于使用的Web應(yīng)用防火墻(WAF)——WebDefend�。”
未來防火墻的趨勢是為低端市場提供功能整合(比如UTM),為高端市場提供功能細(xì)分(比如WAF)�����?NGFW會同WAF整合嗎�����?
“安全是保護(hù)你想要保護(hù)的東西��。”Marc說道�����,“企業(yè)有兩層重要的數(shù)據(jù)需要被保護(hù)����。一層是網(wǎng)絡(luò)層的��,一層是應(yīng)用層的。像UTM���,IDS��,IPS��,下一代防火墻(NGFW)這樣的產(chǎn)品是為網(wǎng)絡(luò)層保護(hù)提供保護(hù)����,即保護(hù)第三層���。而Web應(yīng)用防火墻是要保護(hù)第七層的�����。我們提供不同的產(chǎn)品�,企業(yè)根據(jù)自身的投資和需求投資不同�,購買不同的產(chǎn)品來保護(hù)。”
Marc表示���,NGFW和WAF是無法整合的�。NGFW沒有足夠的能力來保護(hù)第七層的應(yīng)用。在網(wǎng)絡(luò)層中��,有很多流量����,包括數(shù)據(jù)流等等,但是只有一小部分是應(yīng)用層的�;而應(yīng)用層中的流量都是獨特的,每個應(yīng)用流都不同���。保護(hù)網(wǎng)絡(luò)層的殺毒軟件是把病毒庫放進(jìn)去�,你的電腦知道什么是已經(jīng)發(fā)生的����,知道已經(jīng)發(fā)生的就可以進(jìn)行防護(hù)。簡單來說����,病毒更新就是把已經(jīng)知道的毒放進(jìn)來,然后再阻止����。這是所謂的被動安全模式����。
而攻擊Web應(yīng)用程序是不同的�����,你需要進(jìn)行研究�����,因為每一個Web應(yīng)用都是不同的���,你找不到規(guī)律。你想要保護(hù)的是什么將要發(fā)生�����,而不是什么已經(jīng)發(fā)生���,F(xiàn)在黑客很聰明��,想想你的房子�,你有很多門,但是黑客可能從取暖設(shè)備中進(jìn)入�����,因此你不可能100%的阻止他���,但是當(dāng)他正在進(jìn)入時����,你可以發(fā)現(xiàn)并抓住他��。在攻擊發(fā)生前����,阻止攻擊,這叫做主動安全模式�,通過學(xué)習(xí)引擎(Learning engine)實現(xiàn)。
移動設(shè)備廣泛普及的趨勢下��,是否有針對它們的應(yīng)用保護(hù)措施����?
Marc說道,針對移動設(shè)備�����,WAF還是會提供一些保護(hù),但是你還需要別的保護(hù)���,比如你要怎么控制移動設(shè)備對網(wǎng)絡(luò)的接入��,這需要另外一種產(chǎn)品——NAC(網(wǎng)絡(luò)訪問控制)�����。此外��,假設(shè)從一臺筆記本電腦把數(shù)據(jù)下載到另一臺筆記本電腦,這就需要在傳輸過程中加以保護(hù)���,應(yīng)該把數(shù)據(jù)進(jìn)行加密�����,否則設(shè)備丟失或數(shù)據(jù)被竊取會帶來很大損失����,F(xiàn)在信息安全越來越難做�����,設(shè)備無論從數(shù)量還是形式上都發(fā)生了很多變化。
Trustwave公司的副總裁Marc Shinbrood先生
Trustwave的2011年全球安全報告結(jié)果顯示���,超過60%的數(shù)據(jù)泄漏是由于脆弱的Web應(yīng)用程序造成的����。針對這種情況企業(yè)可以做些什么����?
“企業(yè)有很多事情需要做。”Marc說道����,“我們有一個被稱作是‘360度應(yīng)用防護(hù)’的解決方案,這里面包括幾個方面�,”:
首先是培訓(xùn)程序員,告訴他們?nèi)绾尉帉懓踩拇a���。
第二步是做一個應(yīng)用層的滲透測試�。Marc介紹了Trustwave公司特別的測試方法�,不管用戶在全球哪些地方,他們提供了一個門戶網(wǎng)站�,用戶可以實時地看到他們在做什么���,怎樣做這個測試。通常�,公司的測試取決于做測試的這個人,每個人做測試的方式都不一樣�����,最后用戶看到的只是一份報告�����,但不知道他做了些什么����。
在代碼審查這方面,我們會進(jìn)行人工代碼審查��,幫助他們發(fā)現(xiàn)代碼里的問題����。
測試后��,公司要有一個自動的方式����,保證那些補(bǔ)丁被自動打上去��。
“但以上這些都只是一次性的項目�,”Marc補(bǔ)充道����,“你做一個培訓(xùn),進(jìn)行一個測試��,都是一次性的�,而公司需要的一個自動的每天都可以為公司提供保護(hù)的產(chǎn)品,所以我們提供WAF���。這樣一來就保證了整個軟件開發(fā)周期的安全���。”
很多廠商都在提供WAF,你覺得你們的WAF有什么不同之處��?
對此����,Marc回答道,他們的產(chǎn)品有六方面優(yōu)勢:
1.最容易使用(SC雜志進(jìn)行了一個比較�����,結(jié)果顯示Trustwave的WebDefend非常易于使用)
2.價格比較便宜。這指的是你不需要在內(nèi)部培訓(xùn)員工對你的Web應(yīng)用進(jìn)行保護(hù)��,因此降低了在人力和資源上的投入���。
3.可在線或離線安裝產(chǎn)品���。
4.終端用戶體驗。Trustwave不僅看進(jìn)來的請求(如:http//:www.trustwave.com)�����,還要看請求后的反應(yīng)���。確定請求和返回是否一樣����。假設(shè)你遇到問題(如網(wǎng)頁打不開��,站點找不到)�,你打電話請求幫助����,幫助中心的工作人員可能一上來就問你做了什么�����,而一般你是記不清的��。Trustwave產(chǎn)品可以記錄你做過些什么���,幫你發(fā)現(xiàn)問題,這就是用戶體驗不同����,而不是問你一堆問題。
5.360度應(yīng)用保護(hù)��。
6.SpiderLabs每天會提供最新的資料和智能�����。比如SpiderLabs測試一家公司���,發(fā)現(xiàn)了一個問題��,他們就會先把這個問題放進(jìn)來�����,讓別的公司也可以預(yù)防���。
很多公司倡導(dǎo)建立社區(qū)分享信息�,在這方面�����,Trustwave公司有一個ModSecurity�,它是一個開源的Web軟件防火墻項目。如果公司想自己建立WAF�,可以下載ModSecurity,然后自己開發(fā)���。Marc表示��,中國有很多公司的WAF都是基于ModSecurity的�,他們同時可以只收取很少的費(fèi)用來幫助企業(yè)提供一些規(guī)則����。
未來的安全趨勢
最后,Marc談到,他認(rèn)為未來趨勢是很多公司不希望內(nèi)部培訓(xùn)很多人來管理安全���,而是把安全外包出去,采用安全外包服務(wù)���。這也是他們在未來想要提供的安全服務(wù)�,希望可以為中國提供這樣的服務(wù)��。對于云計算的趨勢����,Marc表示他們會與提供云服務(wù)的公司進(jìn)行合作,比如Akamai�����,因為很多做云的公司都不做安全方面的東西���,他們只做最基本的認(rèn)證��,如用戶名和密碼�,而沒有到Web應(yīng)用這層���。
本文出自:億恩科技【m.1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�����!虛擬主機(jī)域名注冊頂級提供商�!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
