梭子魚專訪:Web應用安全現柳暗花明勢頭
2010年,在所有與黑客攻擊有關的活動中,92%的涉及數據泄露的事件均是利用了網絡應用層的漏洞。在今年的OWASP中國峰會上,Forrester Research首席分析師王晨曦所發布的關于互聯網安全現狀的數據中,出現了這個驚人的數字。它似乎在告訴我們,Web應用安全已經不再是信息安全界的"小語種",它正勢不可擋的成為全球信息安全行業急需探討的課題。
Web安全事件已無處不在
今天,國內因Web應用漏洞而引發的安全事件,正在如雨后春筍般在我們身邊爆發,更重要的是,這類安全事件的影響力也開始不斷擴大。梭子魚網絡有限公司中國區總經理何平告訴記者,針對web應用漏洞的攻擊技術,今天在互聯網上幾乎唾手可得。校園網上的BBS、黑客網站、博客上,到處都可以找到發動這類攻擊的工具軟件,甚至完全不懂任何網絡攻擊技術的人,都可以做到黑客可以做的事,外加上"黑色產業鏈"對各種網絡攻擊事件的刻意操縱,Forrester Research所發布的數據已經相當客觀,前段時間伊朗網站被攻擊的事件,正是黑客組織利用web應用漏洞發起的政治性質的攻擊。所以,保證Web應用的安全,也是保障國家信息安全的核心任務。
與這一現實相悖的是,盡管我們的互聯網生活已經陷入了web應用漏洞造成的安全陰影中,但當前大多用戶卻幾乎對Web應用的安全風險完全沒有概念。造成這種落差的原因又是什么呢?
何平告訴記者,這主要是因為在互聯網應用快速變化的過程中,信息安全問題也出現了顛覆性的變化。比如瀏覽器的交互性應用,讓過去的瀏覽器和現在的瀏覽器在本質上出現了巨大的區別,瀏覽器已經變成了眾多應用的承載者。另外,各種移動終端也開始成為互聯網應用的"訪客",數據傳輸的鏈路變得更加復雜了。大多數人關注的是互聯網應用如何越來越豐富,如何越來越便捷,而這種快速的變化與以往的安全體系架構自然不匹配,而在"黑客"眼中,這種差距正是盜取有價信息的大好機會。
既然是應用系統安全漏洞引發的問題,在系統研發階段,這些安全風險是否可以被最大化的規避呢?何平認為,應用系統的安全漏洞永遠都無法避免。因為,在應用系統的研發過程中,如果過多的考慮未來的安危,必然會影響系統的交付周期,強調安全的做法沒有商業驅動力,所以應用程序的漏洞必然會長期存在。
WAF標準有望盡快落地
當前,Web應用安全需求的增長,已經使WEB應用防火墻(Web Application Firewall,簡稱WAF)成為越來越關鍵的安全產品。何平在參加OWASP峰會時也指出,當前企業快速的發展正在對應用系統提出更高的要求,web應用安全市場雖然不會迎來爆發式增長,但是也已經進入了一個快速成長期。而且,由于近年來國際市場日趨成熟,WAF市場的國際標準也在逐步形成,并對傳統的美國信息安全協會和信用卡支付標準PCI DSS所形成的一些標準作出了不少更實用的修正。
同時,他也表示,從國內市場當前的情況來看,國際標準還并不是用戶所看重的,大多廠商的WAF產品多以用戶需求為標準,所以相對國際市場缺乏對Web應用安全產品的價值評估體系,也在某種程度上阻礙了市場認知度的提升。但從市場整體的發展趨勢來看,不管是OWASP這樣的專業技術組織,還是行業用戶都在對具有實用價值的標準的落地起到推動作用。
關于標準化,在今年的OWASP峰會上,也出現了不少有益的信息。比如大會所提出的WAF所要具備的功能、對某些攻擊的防護能力標準,以及在易用性和安全部署方面的建議性要求等。以往,OWASP組織進行的很多項目都成為了產品市場化時的國際標準,但對致力于web應用安全領域的企業而言,這也僅僅只是一種技術方向的指引。正如何平所說,"標準化解決不了技術的問題,技術的發展才是帶動web應用安全市場發展的動力。"
【編輯推薦】
