|
「 买,买,买,」 无疑是「双十一」和 「双十二」期间使用频率最高的词。服饰、家电、婴幼儿众多品类齐降价,让中国老百姓们享尽了实惠。但对于电商平台来说,除了招呼好「顾客」 ,还要时时警惕着「黑客」 的到来。为了保障双十一期间网站的安全和稳定,首席信息安全官 CISO 应该会成为各大电商网站新的宠儿。可笔者调查发现,国内鲜有这一岗位,而且对于网站的安全防护还处于一个非常基础的水平。 大多数网站存在「重大安全隐患」 国际权威机构,在研究了400 多家大型组织在应用程序安全防护方面的做法后, 找出了它们在应用开发部署过程中的「重大安全缺陷」:
因为基础架构和边界保护技术存在先天不足,它们不了解应用程序的逻辑与配置、 事件与数据流、所执行的指令和数据处理,因此也就无法准确地检测出应用程序的漏洞,无法对抗应用程序级别的攻击。同时防火墙对内部攻击无能为力,而这些攻击的破坏性不亚于外部攻击。在云计算、移动互联时代,明显的边界已经越来越少,针对边界保护没有任何意义。 应用程序中存在很多漏洞,导致我们的系统面临着很多的风险。比如可能遭受跨站脚本攻击、SQL 注入攻击、恶意软件攻击及其他一些新型的攻击方式。如果应用程序会被破坏,数据会容易泄露,对企业来说,这是非常致命的。而且即使找到了漏洞,那也只是整个安全防护「战役」中的一部分,因为修补漏洞的过程更是充满了挑战,甚至无法完成任务。所以我们急需寻找一种行之有效的方式,来保护传统应用程序、移动移动程序和 Web 应用程序。 目前比较常见的2种攻击方式 第一种常见的攻击方式就是跨站脚本攻击 (XSS),这是客户端脚本安全中的头号大敌,曾多次位于 OWASP TOP 10威胁的榜首。安全研究人员在大部分最受欢迎的网站,包括 Google, Facebook, Amazon, PayPal 等,都发现这个漏洞的存在。这些漏洞的存在,让黑客可以通过「HTML注入」篡改网页,从而插入恶意的脚本,在用户浏览网页时,控制用户浏览器。
第二种是 Cross-site request forgery (跨站请求伪造),这是一种对网站的恶意利用。简单而言,就是某恶意网站在我们不知情的情况下,以我们的身份在你登录的某网站上胡作非为——发消息、买东西,甚至转账......这种攻击模式听起来有点像跨站脚本(XSS),但 CSRF 与 XSS 非常不同,并且攻击方式几乎相左。XSS 利用站点内的信任用户,而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。与 XSS 攻击相比,CSRF 攻击往往很少见,因此对其进行防范的资源也相当稀少。不过,这种「受信任」的攻击模式更加难以防范,所以被认为比 XSS 更具危险性。 如何解决这些问题? 目前有不少的企业使用 AST 或者 WAF(Web Application Firewall)的方式来解决安全问题。使用 AST 动态扫描程序,希望在上线前将所有漏洞找出来并修复,但是这些工具需要大量配置和很专业的人才。而且现代程序都是动辄几十万行,还会使用大量的第三方工具,所以分析并修复扫描出来的漏洞非常的费时费力。 此外,漏洞更新速度慢,并不能确保所有漏洞被发现并修复。WAF 亦不能完全满足需求。Web 应用程序防火墙是相对比较好的应用程序保护方案,但它的依据就是一些很简单的模式匹配,不会考虑输入内容是否将被传送给包含漏洞的代码。而一些攻击是需要了解应用程序的内部情况才能发现的,WAF 会漏过此类攻击。而且现在黑客翻墙技术非常高超,对于高水平攻击而言,WAF 其实形同虚设。 Gartner 的分析师兼研究员 Joseph Feiman 提出了「实时应用自我保护 (Runtime Application Self-Protection)」 的概念。RASP 的工作原理如下图所示,这种安全策略在可疑行为进入应用程序时并不拦截,而是先对其进行标记,在输出时再检查是否为危险行为,所以能够大大减少误报和漏报的概率。
比如像 XSS 这种攻击,在 RASP 面前就不值一提。RASP 定制了针对 XSS 攻击的规则集和防护类,然后采用 java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到到被保护的类中。所以在 RASP 能够非常有效地抵御 XSS 这种攻击。 由于 RASP 对技术的要求很高,目前国内外真正做这个方面的公司极少。国外的厂商有 Waratek,国内只有 OneASP 一款此类的产品,其主要提供了基于云的应用程序自我保护服务,能够为软件产品提供实时保护,使其免受安全漏洞所累。大家可以点击这里试用一下。 OenRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。 |
