在 十年未变!安全,谁之责?(上)中,我们介绍了安全领域的现状和RASP新的解决方案,那么 RASP 究竟是什么?它在应用安全多变 的今天又能带给我们什么样效果?我们将通过何种方式才能打赢这场与黑客之间的攻坚战呢?
应用安全行业快速发展的数十年间,出现了许多巨变。我们不仅看到过能塞满一整间屋子的电脑,那些曾经耗费数万美元、运行一次需要数周的设备,现在只需十多美元,几个小时内就能运行完毕。AsTech 仍在为许多重要应用进行人为测评,但是,可喜的是,现在出现了一些能够对数量庞大的应用安全状态进行合理测评的工具。既然我们可以持续地监测应用状态,有关应用安全的担忧是否可以抛之脑后了呢?
应用监控方面的惊人进展却也凸显了应用程序安全链的另一重要环节:如何修复安全漏洞?我们可以耗费大量资金事无巨细地测试每一行软件代码,但是如果没法修复检测出来的问题,还是于事无补。事实上,自动修复解决方案总是伴随着软件测评市场一同出现,这些解决方案正逐渐提高我们的测评能力。一直以来,WAF 都是优秀测评修补程序的重要补充,但却无可避免地需要极高的专业水准与细粒度的优化才能发挥最高效率。除非我们的代码能够自动修复漏洞,否则,我们在应用安全的道路上还有很长的路要走。实时应用程序安全保护(RASP)是应用程序安全链中新出现的一环,它能将你无数的开放漏洞变为可以管理掌控的小问题。
尽管无法修补源码中的安全漏洞,RASP 能够自动防御许多通过常见漏洞进行的攻击,大大地简化该问题。RASP 会被插入运行中的应用栈,通过修改应用的行为,有效防止由程序漏洞而引起的攻击。有了这种解决方案,有限的应用安全开发资源得到了解放,转而专注于那些只有人才能解决的问题,比如修改易受攻击的代码,管理修复生命周期,以及/或优化管理 WAF 安装配置。
总之,即便你有无限的资源,也找不到足够的应用安全专家解决所有问题。随着 WAF 与 RASP 这类解决方案日臻完善,有限的人力资源可以将时间花在更感兴趣的方面,而由自动化解决方案扛起更多工作。一种切实可行的综合解决方案,包括有效全面的自动化部署、与开发流程的紧密集成,再由专家对关键应用进行评测与修复,终于出现并赶上了爆炸式成长的软件开发业。
安全培训
Cigital 公司的 Steven 说除了沟通,安全培训是另外一个关键内容。「我们招聘并培训开发人员是因为时间告诉我们不这么做就不会做成事情。」他说道。「我认为当你审视安全从业人员社区时,你会发现很多测试人员和安全专家都会学一些编程技术以便更好地从事自己的工作,我认为很多这种设计——注意我说的是真正的设计决策,通过缺陷分类问题,正确的设计或解决软件安全问题的积极办法——我认为这有点超出他们的能力范围。」
「从业成员也有不同的类型,」他继续说到。「我们能够从 OWASP 社区了解这些测试专家:有些人在渗透测试拥有五年或十年的工作经历,这群人可能并不了解开发,也并没有和管理层人员有过沟通交流,因此建造一直安全团队可能比较困难。当他们与组织架构师谈及采用一个全新开源的结构或库的时候,你能够想象到这对他们来说将会是一个不小的挑战。理解鸿沟不仅仅存在于开发层面,结构层面同样也是如此。」
针对漏洞的培训和企划同样也是 Rogue Wave 公司的 Cope 所提供的建议。「保护自己的唯一办法是更新至最新的补丁,了解最新的新闻和使用最新的办法,并期待它们一直如此……面对所有的这些软件,将会有更多的安全漏洞出现,你需要做到有备而战,使用工具,准备好提醒措施以便能够快速知道问题在哪儿,是来自于开源项目还是另有它处,知道问题所在后有适当的缓解措施以便知道那些地方受到了影响。」
「如果有一个新的 OpenSSl 补丁,我该怎么办呢?我怎么知道在我的机器环境(虚拟或是物理)需要更新?以及如何操作?谁进行该操作?整个缓和计划必须是一个长期进行的过程。」
打正确的仗
所有人都同意只要软件还存在,有所图的人就定会利用它的缺陷。但并不是因为黑客攻击得不到最终阻止就不值得尝试任何安全软件。
Rogue Wave 公司的 Cope 这么说道:
「这就有点像达尔文主义……适者生存。如果你能快速的打好补丁,那么你就能够挡回处于食物链最底层的黑客,也许他们由于技术陈旧仍然寻找着那些没有及时更新打好补丁的机器。因此如果你正在某个公司承担着安全任务,那么你至少要解决那些陈旧的已知漏洞问题,因为没有这么做的人将会是一个更容易实现的目标,因此那些花了几个小时攻击你的站点的黑客在发现更容易的目标后就不会继续打扰你了。」
「很不幸,但是事实是你不是在与黑客进行某场比赛,而是与那些更新没有你迅速及时的人比赛。这就像你穿上网球鞋,不是为了要跑赢熊,而是为了跑赢你的朋友。」
原文地址:http://sdtimes.com/stop-fighting-yesterdays-software-security-wars/#ixzz3ujcSTpgk
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想技术文章,请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客