摘要:曾提出一份報告�,針對機構(gòu)應(yīng)該如何優(yōu)先管理積極風險的問題,提出了考慮將作為企業(yè)應(yīng)用程序安全的主流選擇的建議。的設(shè)計目的是實時消除惡意應(yīng)用程序行為�����,并發(fā)出警報來提醒組織優(yōu)先處理關(guān)鍵事務(wù)�。
Aberdeen 曾提出一份報告,針對機構(gòu)應(yīng)該如何優(yōu)先管理積極風險的問題���,提出了考慮將 Runtime Application Self-Protection (RASP) 作為企業(yè)應(yīng)用程序安全的主流選擇的建議��。
企業(yè)應(yīng)用程序安全新方案
1.企業(yè)的應(yīng)用程序組合數(shù)量龐大���、復(fù)雜且笨重,對業(yè)務(wù)影響極大
不管從哪個方面來看��,應(yīng)用程序組合對企業(yè)實現(xiàn)戰(zhàn)略業(yè)務(wù)目標都至關(guān)重要����。
然而����,典型的企業(yè)應(yīng)用程序組合又總是數(shù)量龐大、復(fù)雜而且笨重��。企業(yè)應(yīng)用程序的數(shù)量與復(fù)雜程度包括以下幾方面:
傳統(tǒng)的企業(yè)支持應(yīng)用程序的數(shù)量從幾十到幾百,更不要提用戶安裝在智能手機���、平板電腦和筆記本電腦的上成百上千個移動應(yīng)用程序了——有些受支持�����,但是大部分不受支持�����。
當下�����,企業(yè)應(yīng)用程序類別更有自己額外的復(fù)雜分級�����,其中有些應(yīng)用程序可能由內(nèi)部開發(fā)團隊�、外包開發(fā)團隊����、代表企業(yè)的系統(tǒng)集成人員,或者是這些開發(fā)團隊選用的開源社區(qū)進行開發(fā)并維護的——而且更有可能的是由以上幾個團隊共同完成���。
至于應(yīng)用程序交付平臺��,各個組織機構(gòu)都迫切希望利用虛擬化和云計算靈活性和低成本帶來的便利——不過他們在可見性和可控性方面依然十分謹慎��,尤其是涉及核心商業(yè)的那些應(yīng)用程序
這里最重要的啟發(fā)是�����,按照定義來說�����,企業(yè)的應(yīng)用程序檔案對組織實現(xiàn)戰(zhàn)略商業(yè)目標至關(guān)重要——然而隨著時間推移�����,這個檔案必然會變得越來越龐大�,越來越復(fù)雜。
2. 這就讓犯罪分子有了可乘之機:為什么你的企業(yè)應(yīng)用程序會遭到攻擊����?
攻擊者越來越致力于攻擊核心、戰(zhàn)略型目標���,從而使他們的付出得到的回報最大化�。
服務(wù)器最容易受到攻擊��,大概是因為攻擊者知道那里儲存著數(shù)據(jù)���。
這個觀點在 Verizon 發(fā)布的《 2015 年數(shù)據(jù)泄露調(diào)查報告》中得到了驗證�。經(jīng)分析����,過去十幾年來超過 90% 的數(shù)據(jù)泄露事件所用的攻擊方法只有九種——而且在這期間導致數(shù)據(jù)泄露最多的攻擊方法就是攻擊網(wǎng)站應(yīng)用程序。
表1:已確認的數(shù)據(jù)泄露事件����,2006-2014年
| 攻擊類型 |
確認數(shù)量 |
| 網(wǎng)絡(luò)應(yīng)用程序攻擊 |
458 (26%) |
| 銷售點入侵 |
419(24%) |
| 網(wǎng)絡(luò)間諜 |
290(17%) |
| 犯罪軟件 |
287(17%) |
| 內(nèi)部誤用 |
129(7%) |
| 信用卡盜用 |
108 (6%) |
| 盜竊 |
35(2%) |
| 其它錯誤 |
11 (1%) |
| 合計 |
1737(100%) |
信息來源:《 Verizon 2015 DBIR 》節(jié)選;Aberdeen 集團���,2015年6月����。
在表 1 所示的同一個時間段內(nèi)(2006-2014年)���,一共有 60879 家企業(yè)加入了國家漏洞數(shù)據(jù)庫�����,因此安全意識并不是問題所在�。真正的挑戰(zhàn)在于搞清楚應(yīng)該做什么,說服其他人這么做是值得做的�����,真正去做——并且在飛速變化的環(huán)境中堅持不斷去做����!
目前的 20 個關(guān)鍵安全控制(5.1版)還帶來了8個更高級別的要求,Aberdeen 已經(jīng)將其修訂成適用于應(yīng)用程序安全問題的內(nèi)容:
了解在你的網(wǎng)絡(luò)環(huán)境中有哪些應(yīng)用程序
確保你的應(yīng)用程序得到安全配置
確保你的應(yīng)用程序安裝補丁�����,并及時更新
備份并保護你的重要數(shù)據(jù)
保護你的網(wǎng)絡(luò)
管理你的用戶�、用戶賬號以及他們對企業(yè)應(yīng)用程序的訪問
注意周圍環(huán)境發(fā)生的變化
時刻準備著對出現(xiàn)的問題進行響應(yīng)
3. 確保企業(yè)應(yīng)用程序安全的三個策略以及一個新的備選方案
這些探討中不可避免地遇到的問題可以最終歸結(jié)為安全、商業(yè)目標�、整體成本以及某種程度上的管理哲學等問題的集合。
| 策略 |
描述 |
技術(shù)例證 |
| 搜索和修復(fù) |
嘗試識別目前開發(fā)的應(yīng)用程序中的安全漏洞(一般由安全團隊完成)�����,然后由開發(fā)團隊解決�����。 |
-網(wǎng)絡(luò)漏洞掃描
-應(yīng)用程序發(fā)現(xiàn)
-應(yīng)用程序漏洞掃描
-滲透測試
-道德攻擊 |
| 防御和延遲 |
增強目前開發(fā)的應(yīng)用程序的安全性,減少或延遲需要開發(fā)團隊解決的安全漏洞����。 |
-網(wǎng)絡(luò)應(yīng)用程序防火墻 (WAF)
-應(yīng)用級代理
-網(wǎng)頁安全(網(wǎng)頁監(jiān)控/過濾)
-虛擬批處理
-實時應(yīng)用程序自我保護 (RASP) |
| 根源保障 |
將安全測試實踐�����、工具和測試加入軟件開發(fā)生命周期 (SDLC)�����,在應(yīng)用程序部署之前消除更多安全漏洞����。 |
-源代碼審核(手動)
-軟件測試(包括單元測試、功能測試����、性能測試、驗收測試和安全測試)
-源代碼分析和驗證(包括靜態(tài)��、動態(tài)和互動)
-第三方應(yīng)用軟件測試 |
信息來源:Aberdeen 集團�,2015年6月。
4. 一個新的備選方案:Runtime Application Self-Protection (RASP)
一種新的確保應(yīng)用程序安全的方法已經(jīng)出現(xiàn)����,它被稱為 Runtime Application Self-Protection (RASP)���。
RASP 的概念是把安全保護代碼內(nèi)嵌(或者有時候被稱為安裝)到某個應(yīng)用程序的運行環(huán)境,實時提供該應(yīng)用程序詳細可見的收到的請求�����。關(guān)鍵點是��,這種可見信息來自應(yīng)用程序本身�����,而不是來自網(wǎng)絡(luò)的變化����。
另外,RASP 技術(shù)是被設(shè)計用來分析應(yīng)用程序本身的流量和上下文���,以區(qū)別于正常的應(yīng)用程序行為和危險行為���。
在這些性能的基礎(chǔ)上,RASP 提供的正是 Aberdeen 在《Putting Threat Intelligence in Perspective 》(2014年12月)中探討的威脅情報,它具有至少四個顯著特點(表3)�����。
表3:威脅情報的四個特點及其在 RASP 中的體現(xiàn)
| 危險情報特點與描述 |
|
實時應(yīng)用程序自我保護 (RASP) |
| 來自合格可信的第三方來源����。 |
考慮基礎(chǔ)設(shè)置防護的水平和復(fù)雜程度�����,信息優(yōu)勢是防衛(wèi)者打敗攻擊者的最佳方式���。 |
在 RASP 模式下��,信息來源是企業(yè)自己的應(yīng)用程序檔案���。 |
| 提供主動攻擊活動的洞察力。 |
我們已經(jīng)擁有的大量潛在威脅�、漏洞、利用信息��,與主動攻擊活動的實際“誰��、什么、哪里���、何時和如何”信息有很大的不同��。 |
RASP 的設(shè)計目的是為內(nèi)置 RASP 的企業(yè)應(yīng)用程序提供主動攻擊的“誰�����、什么���、哪里、何時和如何”信息�。 |
| 為組織風險提供獲取相關(guān)見解的方法。 |
在我們的組織的特定語境下��,風險總是具備相似性和商業(yè)影響的作用�����。情報結(jié)合自知之明是確定正確��、基于風險的行動的唯一方法���。 |
在 RASP 模式下���,組織明白他們在管理真正的應(yīng)用程序攻擊����,而不是管理漏洞帶來的后果以及未來應(yīng)用攻擊的可能性���。待修復(fù)漏洞的優(yōu)先級和理由就會變得清楚明確��。 |
| 包括活動或額外幫助的選項��。 |
獲取情報很重要,但是在需要的時候能夠具備能夠有效響應(yīng)的知識和能力更為關(guān)鍵�����,這樣才能獲得情報的真正價值����。 |
RASP 的設(shè)計目的是實時消除惡意應(yīng)用程序行為,并發(fā)出警報來提醒組織優(yōu)先處理關(guān)鍵事務(wù)�。 |
信息來源:Aberdeen 集團,2015年6月����。
如果你所在的組織機構(gòu)還未采用 RASP 來維護應(yīng)用程序安全,以下分析強烈建議你們主動考慮采用這種新的備選方案 RASP。首先��,需要評價的邏輯維度包括以下幾點:
支持貴機構(gòu)應(yīng)用程序組合所用的編程語言
解決方案實時分析的準確性
解決方案在應(yīng)用程序中的表現(xiàn)
如今�,多樣化的攻擊手段層出不窮,傳統(tǒng)安全解決方案越來越難以應(yīng)對網(wǎng)絡(luò)安全攻擊����。OneRASP 實時應(yīng)用自我保護技術(shù),可以為軟件產(chǎn)品提供精準的實時保護,使其免受漏洞所累����。想閱讀更多技術(shù)文章,請訪問 OneAPM 官方技術(shù)博客�。
本文轉(zhuǎn)自 OneAPM 官方博客
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11170.html
