應(yīng)用程序安全怎樣來(lái)提供保障

隨著網(wǎng)絡(luò)威脅變得更加強(qiáng)大和普遍，組織時(shí)刻檢查應(yīng)用程序中的安全漏洞至關(guān)重要。

應(yīng)用程序安全性是通過(guò)查找、修復(fù)和增強(qiáng)應(yīng)用程序安全性來(lái)使應(yīng)用程序更安全的過(guò)程。這大部分發(fā)生在其開(kāi)發(fā)階段，但其中包括在應(yīng)用程序部署后對(duì)其進(jìn)行保護(hù)的一些工具和方法。隨著黑客越來(lái)越多地攻擊組織采用的應(yīng)用程序，這一點(diǎn)變得越來(lái)越重要。

應(yīng)用程序的安全性引起了很多關(guān)注。數(shù)百種工具可用于保護(hù)應(yīng)用程序組合的各種元素，從鎖定編碼更改到評(píng)估無(wú)意的編碼威脅，評(píng)估加密選項(xiàng)以及審核權(quán)限和訪問(wèn)權(quán)限。如今具有專(zhuān)門(mén)的工具用于移動(dòng)應(yīng)用程序、基于網(wǎng)絡(luò)的應(yīng)用程序以及專(zhuān)門(mén)為網(wǎng)絡(luò)應(yīng)用程序設(shè)計(jì)的防火墻。

為什么應(yīng)用程序安全很重要

根據(jù)Veracode公司發(fā)布的軟件安全狀態(tài)第10卷調(diào)查報(bào)告，在該公司測(cè)試的85000個(gè)應(yīng)用程序中，83%的應(yīng)用程序至少有一個(gè)安全漏洞。很多應(yīng)用程序擁有更多的漏洞，因?yàn)樗麄兊难芯堪l(fā)現(xiàn)這些應(yīng)用程序中總共有1000萬(wàn)個(gè)漏洞，20%的應(yīng)用程序至少有一個(gè)很?chē)?yán)重的漏洞。并非所有這些漏洞都會(huì)帶來(lái)重大的安全風(fēng)險(xiǎn)，但其數(shù)量之多令人不安。

在軟件開(kāi)發(fā)過(guò)程中，組織發(fā)現(xiàn)并修復(fù)安全問(wèn)題的速度越快，其業(yè)務(wù)就越安全。因?yàn)槊總€(gè)人都會(huì)犯錯(cuò)誤，所以組織面臨的挑戰(zhàn)是及時(shí)發(fā)現(xiàn)這些錯(cuò)誤。例如，一個(gè)常見(jiàn)的編碼錯(cuò)誤可能允許未經(jīng)驗(yàn)證的輸入。這個(gè)錯(cuò)誤可能會(huì)變成SQL注入攻擊，如果黑客發(fā)現(xiàn)之后就會(huì)導(dǎo)致數(shù)據(jù)泄漏。

集成到應(yīng)用程序開(kāi)發(fā)環(huán)境中的應(yīng)用程序安全工具可以使此過(guò)程和工作流更簡(jiǎn)單、更有效。如果組織正在進(jìn)行合規(guī)性審核，這些工具也很有用，因?yàn)樗鼈兛梢栽趯徍巳藛T看到問(wèn)題之前發(fā)現(xiàn)問(wèn)題，從而節(jié)省時(shí)間和費(fèi)用。

在過(guò)去幾年中，企業(yè)應(yīng)用程序的構(gòu)建方式不斷變化，這推動(dòng)了應(yīng)用程序安全領(lǐng)域的快速增長(zhǎng)。如今，IT部門(mén)需要數(shù)月時(shí)間來(lái)完善需求、構(gòu)建和測(cè)試原型，并將最終產(chǎn)品交付給最終用戶(hù)的日子已經(jīng)一去不復(fù)返了?，F(xiàn)在這個(gè)想法似乎有些過(guò)時(shí)。

取而代之的是，組織如果采用持續(xù)部署和持續(xù)集成的新的工作方法，這些方法每天（有時(shí)是每小時(shí)）優(yōu)化應(yīng)用程序。這意味著安全工具必須在這個(gè)瞬息萬(wàn)變的世界中工作，并迅速發(fā)現(xiàn)代碼問(wèn)題。

調(diào)研機(jī)構(gòu)Gartner公司在2018年9月發(fā)布的有關(guān)應(yīng)用程序安全炒作周期報(bào)告中表示，IT管理人員需要識(shí)別常見(jiàn)的應(yīng)用程序開(kāi)發(fā)安全性錯(cuò)誤，并防止常見(jiàn)的攻擊技術(shù)。他們提供了十幾種不同類(lèi)別的產(chǎn)品，并描述他們?cè)凇俺醋髦芷凇敝械奈恢谩?/p>

其中許多類(lèi)別仍在出現(xiàn)，并采用相對(duì)較新的產(chǎn)品。這表明，隨著威脅變得更加復(fù)雜、更加難以發(fā)現(xiàn)，并且對(duì)企業(yè)的網(wǎng)絡(luò)、數(shù)據(jù)和企業(yè)聲譽(yù)的潛在損害更加嚴(yán)重，市場(chǎng)正在迅速發(fā)展。

應(yīng)用程序的安全工具

雖然應(yīng)用安全軟件產(chǎn)品種類(lèi)繁多，但問(wèn)題的關(guān)鍵在于兩個(gè)方面：安全測(cè)試工具和應(yīng)用屏蔽產(chǎn)品。前者擁有一個(gè)較為成熟的市場(chǎng)，擁有數(shù)十家知名廠商，其中一些是軟件行業(yè)的巨頭，如IBM、CA和MicroFocus。這些工具非常完善，以至于Gartner公司創(chuàng)建了其魔力象限，并對(duì)其重要性和成功進(jìn)行了分類(lèi)。諸如IT中心站之類(lèi)的評(píng)論網(wǎng)站也已經(jīng)能夠?qū)@些供應(yīng)商進(jìn)行調(diào)查和排名。

Gartner公司將安全測(cè)試工具分為幾個(gè)大類(lèi)，它們對(duì)于確定保護(hù)應(yīng)用程序組合所需的方式很有幫助：

?靜態(tài)測(cè)試，在開(kāi)發(fā)過(guò)程中的固定點(diǎn)分析代碼。這對(duì)于開(kāi)發(fā)人員在編寫(xiě)代碼時(shí)檢查他們的代碼很有用，以確保在開(kāi)發(fā)過(guò)程中引入安全性問(wèn)題。

?動(dòng)態(tài)測(cè)試，它分析正在運(yùn)行的代碼。這更有用，因?yàn)樗梢阅M對(duì)生產(chǎn)系統(tǒng)的攻擊，并揭示使用系統(tǒng)組合的更復(fù)雜的攻擊模式。

?交互式測(cè)試，結(jié)合了靜態(tài)和動(dòng)態(tài)測(cè)試的元素。

?移動(dòng)測(cè)試是專(zhuān)門(mén)為移動(dòng)環(huán)境設(shè)計(jì)的，可以檢查攻擊者如何利用移動(dòng)操作系統(tǒng)及其上運(yùn)行的所有應(yīng)用程序。

查看測(cè)試工具的另一種方法是如何通過(guò)內(nèi)部部署工具或通過(guò)基于SaaS的訂閱服務(wù)（在其中提交代碼進(jìn)行在線分析）來(lái)交付它們。有些甚至兩者都做。

一個(gè)警告是每個(gè)測(cè)試供應(yīng)商都支持的編程語(yǔ)言。有些將其工具限制為僅一種或兩種語(yǔ)言（通常Java是一個(gè)安全的選擇）。其他人更多地參與Microsoft .Net領(lǐng)域。集成開(kāi)發(fā)環(huán)境（IDE）也是如此：某些工具可以作為這些集成開(kāi)發(fā)環(huán)境（IDE）的插件或擴(kuò)展來(lái)運(yùn)行，因此測(cè)試代碼就像單擊按鈕一樣簡(jiǎn)單。

另一個(gè)問(wèn)題是，任何工具是與其他測(cè)試結(jié)果隔離的，還是可以將它們合并到自己的分析中。IBM公司是少數(shù)幾個(gè)可以從手工代碼審查、滲透測(cè)試、漏洞評(píng)估和競(jìng)爭(zhēng)對(duì)手測(cè)試中導(dǎo)入發(fā)現(xiàn)的公司之一。這可能會(huì)有幫助，特別是如果企業(yè)有多個(gè)工具需要跟蹤。

此外，不要忘記應(yīng)用屏蔽工具。這些工具的主要目的是加強(qiáng)應(yīng)用程序的安全性，從而使攻擊更加困難。這是一個(gè)不太明確的地區(qū)。在這里，會(huì)發(fā)現(xiàn)大量小型點(diǎn)產(chǎn)品的集合，在許多情況下，這些產(chǎn)品的歷史和客戶(hù)群都很有限。這些產(chǎn)品的目標(biāo)不僅是測(cè)試漏洞，還可以積極防止組織的應(yīng)用程序損壞或受到破壞。它們包括幾個(gè)不同的大類(lèi)：

?運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）：可以將這些工具視為測(cè)試和屏蔽的組合。它們提供了防止可能的逆向工程攻擊的措施。運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）工具會(huì)持續(xù)監(jiān)視應(yīng)用程序的行為，這在移動(dòng)環(huán)境中非常有用，當(dāng)移動(dòng)環(huán)境可以重寫(xiě)應(yīng)用程序，在手機(jī)上運(yùn)行應(yīng)用程序或?yàn)E用權(quán)限將其轉(zhuǎn)變?yōu)閻阂庑袨闀r(shí)，該功能尤其有用。運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）工具可以發(fā)送警報(bào)，終止錯(cuò)誤流程或在發(fā)現(xiàn)受到威脅時(shí)終止應(yīng)用程序本身。

運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）可能會(huì)成為許多移動(dòng)開(kāi)發(fā)環(huán)境中的默認(rèn)設(shè)置，并作為其他移動(dòng)應(yīng)用程序保護(hù)工具的一部分內(nèi)置。期望看到擁有可靠運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）解決方案的軟件供應(yīng)商之間有更多聯(lián)盟。

?代碼混淆：黑客經(jīng)常使用混淆方法來(lái)隱藏其惡意軟件，現(xiàn)在，工具使開(kāi)發(fā)人員可以執(zhí)行這種操作，以幫助保護(hù)其代碼免受攻擊。

?加密和防篡改工具：這些是其他方法，可以用來(lái)阻止惡意分子獲取對(duì)代碼的了解。

?威脅檢測(cè)工具：這些工具檢查組織的應(yīng)用程序運(yùn)行的環(huán)境或網(wǎng)絡(luò)，并對(duì)潛在威脅和濫用的信任關(guān)系進(jìn)行評(píng)估。某些工具可以提供設(shè)備“指紋”，以確定手機(jī)是否已存在威脅或遭到破壞。

應(yīng)用程序安全挑戰(zhàn)

問(wèn)題是，IT技術(shù)必須確保用戶(hù)的應(yīng)用程序安全。他們首先必須滿(mǎn)足不斷發(fā)展的安全和應(yīng)用程序開(kāi)發(fā)工具市場(chǎng)要求，但這只是切入點(diǎn)。

隨著越來(lái)越多的企業(yè)更深入地研究數(shù)字產(chǎn)品，他們的應(yīng)用程序組合需求也將演變?yōu)楦鼜?fù)雜的基礎(chǔ)設(shè)施，因此IT部門(mén)還必須預(yù)測(cè)業(yè)務(wù)需求。他們還必須了解如何構(gòu)建和保護(hù)SaaS服務(wù)。這是一個(gè)問(wèn)題，因?yàn)樽罱鼘?duì)500位IT管理人員進(jìn)行的調(diào)查發(fā)現(xiàn)，很多人缺乏軟件設(shè)計(jì)知識(shí)。該報(bào)告指出，“首席信息官可能會(huì)發(fā)現(xiàn)自己處在組織高層領(lǐng)導(dǎo)地位，因?yàn)樗麄円獙?duì)降低復(fù)雜性、保持預(yù)算，以及他們加快現(xiàn)代化以適應(yīng)業(yè)務(wù)需求負(fù)責(zé)?！?/p>

最后，應(yīng)用程序安全性的責(zé)任可能會(huì)分散到組織IT運(yùn)營(yíng)中的多個(gè)不同團(tuán)隊(duì)中：網(wǎng)絡(luò)人員可能負(fù)責(zé)運(yùn)行Web應(yīng)用程序防火墻和其他以網(wǎng)絡(luò)為中心的工具，服務(wù)器工作人員可能負(fù)責(zé)運(yùn)行面向端點(diǎn)的測(cè)試，各個(gè)開(kāi)發(fā)小組可能還有其他顧慮。這使得很難提出一種可以滿(mǎn)足每個(gè)人需求的工具，這就是市場(chǎng)變得如此分散的原因。

應(yīng)用程序安全性趨勢(shì)

在2019年1月，Imperva公司發(fā)布了其Web應(yīng)用程序漏洞狀態(tài)?？傮w調(diào)查結(jié)果是肯定的。盡管Web應(yīng)用程序漏洞的數(shù)量持續(xù)增長(zhǎng)，但這種增長(zhǎng)正在放緩。

這主要是由于物聯(lián)網(wǎng)漏洞的減少，2018年只報(bào)告了38個(gè)新漏洞，而2017年為112個(gè)。另一方面，API漏洞在2018年增加了24%，但不到2017年56%的增長(zhǎng)率的一半。

根據(jù)Imperva公司的調(diào)查報(bào)告，出現(xiàn)更多漏洞的另一個(gè)領(lǐng)域是內(nèi)容管理系統(tǒng)，尤其是Wordpress。該平臺(tái)報(bào)告的漏洞數(shù)量增加了30%。

該報(bào)告指出，盡管Drupal內(nèi)容管理系統(tǒng)不如Wordpress流行，但由于存在兩個(gè)漏洞：Drupalgeddon2（CVE-2018-7600）和Drupalgeddon3（CVE-2018-7602）成為網(wǎng)絡(luò)攻擊者的主要目標(biāo)。兩者都允許攻擊連接到后端數(shù)據(jù)庫(kù)，使用惡意軟件掃描并感染網(wǎng)絡(luò)和客戶(hù)端，或者挖掘加密貨幣。Imperva公司聲稱(chēng)在2018年阻止了使用這些漏洞的超過(guò)50萬(wàn)次攻擊。

Veracode公司的調(diào)查報(bào)告顯示最常見(jiàn)的缺陷類(lèi)型是：

?信息泄漏（64%）

?密碼問(wèn)題（62%）

?CRLF注入（61%）

?代碼質(zhì)量（56%）

?輸入驗(yàn)證不足（48%）

?跨站點(diǎn)腳本（47%）

?目錄遍歷（46%）

?憑證管理（45%）

而這些百分比代表測(cè)試的應(yīng)用程序中的普遍性。自從10年前Veracode公司開(kāi)始跟蹤這些漏洞以來(lái)，上述所有漏洞的發(fā)生率都在增加。

Veracode公司研究發(fā)現(xiàn)的一個(gè)積極趨勢(shì)是，應(yīng)用程序掃描在修復(fù)應(yīng)用程序缺陷的速度和時(shí)間上有很大的不同?？傮w修復(fù)率（尤其是針對(duì)高嚴(yán)重性缺陷的修復(fù)率）正在提高，達(dá)56%，高于2018年的52%，嚴(yán)重性最高的漏洞修復(fù)率為75.7%。經(jīng)常掃描和測(cè)試軟件的DevSecOps方法將減少修復(fù)缺陷的時(shí)間。每年掃描12次或更少的應(yīng)用程序的維修時(shí)間平均為68天，而每天或更長(zhǎng)時(shí)間的平均掃描時(shí)間將降低到19天。