而今,大多数应用都依赖于像入侵防护系统(Instrusion Prevention System)和 Web 应用防火墙(Web Application Firewall,以下全文简称 WAF)这样的外部防护。然而,许多这类安全功能都可以内置到应用程序中,实现应用程序运行的自我保护。
实时应用自我保护 (以下全文简称 RASP),是一个应用程序运行时环境的组成部分,它可以实现为 Java 调试界面的扩展。RASP 可以检测到应用程序在运行时试图往内存中写入大量数据的行为,或者是否存在未经授权的数据库访问。同时,它具有实时终止会话、和发出告警等功能。WAF 和 RASP 的合作相辅相成,WAF 可以检测到潜在的攻击,而 RASP 可以通过研究应用内部的实际响应数据来验证潜在的攻击是否具有威胁性。
毋庸置疑,内置于应用程序的RASP,比那些只能获取 App 有限的内部进程信息的外接设备更加强大。
说到协同安全智能,笔者认为协同安全的意义是不同应用安全技术间的协作或集成。
动态应用程序安全测试(以下全文简称 DAST) + 静态应用程序安全测试(以下全文简称 SAST):DAST 不需要访问代码并且易于实现。另一方面,SAST 需要访问代码,但是对应用程序的内部逻辑了解更为深入。这两种测试技术各有利弊,但是两种测试结果的关联和结合,能极大提高安全测试的价值:即他们不仅可以降低误报率,也可以发现更多安全漏洞,从而提高测试效率。
SAST + DAST + WAF(即静态 + 动态应用程序安全测试 + Web 应用防火墙):这个组合可以把 SAST 或 DAST 技术检测到的安全漏洞提供给 WAF 作为输入信息。这些漏洞信息可以用来创建特定的规则集,从而WAF 甚至可以在修复方案实施之前制止漏洞带来的攻击。
SAST + DAST + SIM / SIEM(安全事故管理/安全事故事件管理,以下全文对应简称 SIM 或 SIEM):通过 SAST 或 DAST 检测到的漏洞信息对于 SIM 或 SIEM 的关联引擎是非常有价值的。这些漏洞信息可以提供更加准确的漏洞关联信息和攻击监测。
WAF + RASP(即 Web 应用防火墙 + 实时应用自我保护):WAF 和 RASP 的作用是互补的。WAF 提供的信息可由 RASP 验证,从而帮助提供更精确的侦测信息,并预防攻击。
「大一统」:最后终有一天,以上提及的所有检测手段,甚至更多手段,都可以组合在一起供企业使用,实现「真·安全智能体系」。
笔者认为,这里「混合」的意思是用一种结合自动和人工测试的方式「超越安全顾问们可以做到的极限」,以此实现更高的扩展性、更准确的可预测性和更高的成本效益。
DAST 和 SAST,两者都有自身的局限性。其中,两个主要的问题是误报率和业务逻辑测试。网络测试只需在一段已知的代码中发现已知的漏洞,然而和网络测试不同的是,应用程序测试面对的是未知代码。这使得漏洞侦测模式变得非常不同,更加难以实现自动化测试。所以,你只好从安全咨询人员或内部安全专家处获得最好的解决方案。然而,这种模式不具备可扩展性。比如,世界上有超过十亿个应用程序等待测试,在这种情况下,地球上并没有足够多的专家进行测试。
其实,这不是一个关于「人类 vs. 机器」的问题,而是关于「人类和机器」的问题。未来的趋势是自动化和人工验证的智慧结合。iViZ 是一个有趣的实例,他们使用的是自动化技术,同时结合了「自动化工作流程」进行人工检查,从而保证零误报率,且业务逻辑测试达到 100% 的WASC 类覆盖率。事实上,iViZ 收费固定,并且提供无限制的应用程序安全测试服务,而其边际利率高于市面上其他SaaS 企业的平均水平。
笔者相信「服务化 -aaS」模型的理由很简单:我们之所以需要技术并不是为了技术,而是为了解决问题。换句话说,我们需要的是解决方案和服务。随着人们越来越注重「核心竞争力」,大家感到获取服务比购买产品更有意义,「帮你搞定」比「你自己动手」更有意义(当然,也会有些例外)。
现在我们有 SASTaas、DASTaaS 和 WAFaaS。几乎所有事情都可以服务化。事实上,Gartner 已经为「应用程序安全即服务」创建了单独的技术成熟度曲线。
应用程序安全作为服务有许多好处:降低固定运营成本,帮助专注于核心竞争力,解决人才获取和留存的问题,降低运营管理费用等更多的益处。
现在,是时候考虑安全产品开发生命周期以后的问题了。曾几何时,我们看到许多力量都在推动安全和软件开发生命周期的结合,笔者相信,这个行业已经取得了一些不错的进展。未来的趋势仍是这样,但是是从结合「安全 + 开发 + 运维」的角度去做。设计、开发、测试直到生产、管理、维护和运维,这一整条线索,应该无缝地与重中之重——即安全,密切结合。现今,开发与运维之间仍有一条「安全之路」要走,然而这条「路」将随安全生命周期的日趋集成化而渐渐模糊。
原文地址: http://www.cisoplatform.com/profiles/blogs/5-application-security-trends-you-don-t-want-to-miss
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。 OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问OneAPM 官方技术博客。