一些人認為，關于計算機的安全已由最初的物理安全，隨后的網絡安全發展到現在的應用安全。這種說法有一定的道理，我們看到，攻擊者已將攻擊目標轉向Web應用程序，通過Web應用程序漏洞，黑客可以滲透到你最敏感的數據，甚至滲透到數據庫。與此同時，安全廠商們相應地推出了諸如Web應用防火墻（WAF）這樣專門保護Web應用程序的產品。這些產品是否有效？企業還應該部署哪些解決方案來保護Web應用程序？近日，本站記者在OWASP中國大會上，采訪了Trustwave公司的副總裁Marc Shinbrood先生，就Web應用程序安全的問題進行了探討。

虛擬補丁是創可貼

 Trustwave公司的副總裁Marc Shinbrood先生

[[49830]]什么是虛擬補丁？它是一種可以使IT人員擺脫補丁管理困境的解決方案。虛擬補丁技術旨在通過控制受影響的應用程序的輸入或輸出，來改變或消除漏洞。Marc解釋道，作為虛擬補丁的提供者，我們登錄一個網站，查看該網站是否有問題和弱點，如果有，我們將該問題或弱點稱為‘事件’，然后研發團隊（Trustwave的研發部門是SpiderLabs）的工作就是將一個命令寫到WAF里，讓別人無法進入該漏洞，也就是讓黑客無法利用該漏洞做任何有害的事情。

“但這就像是一個創可貼，比如你有一個傷口，你先用創可貼貼上，緊急補救一下，隨后你需要去醫院，讓醫生把這個傷口縫起來。”Marc補充道。

虛擬補丁只應用于WAF？別的安全產品里可不可以使用？

Marc表示，Web應用程序是實時的，可以及時打補丁。一般情況下，一個Web應用程序的漏洞從發現到修復需要6個月的時間，而在這段時間里，黑客是不會靜觀其變的，所以及時打上補丁很重要，這也就是虛擬補丁的重要性。它的好處一是，可以在不影響應用程序和其相關庫以及為其提供運行環境的操作系統的情況下，為應用程序安裝補丁。二是，如果一個應用程序的早期版本已不再獲得供應商支持，則此時虛擬補丁是支持該早期版本的唯一方法。

虛擬補丁的意義在于它的及時性和差異性，不是所有東西都需要虛擬補丁的。比如操作系統（OS），基本上操作系統在每個地方每個時間都是相同的，你只需要定期從網站上下載安裝針對它的統一補丁即可。而Web應用程序不同，每一個Web應用都是不同的，比如Peoplesoft，你怎么使用與別人怎么使用是不一樣的，因此需要及時的有針對性的修補。

誰是醫生？

Marc表示，他們在提供創可貼的同時，也是醫生。“作為一個醫生，我們會告訴病人我們看到了什么問題，這個是你的診斷書，怎么處理可以自己決定。你是想做一個手術，還是每天早上吃藥？”

“就我們公司而言，我們提供了易于使用的Web應用防火墻（WAF）——WebDefend。”

未來防火墻的趨勢是為低端市場提供功能整合（比如UTM），為高端市場提供功能細分（比如WAF）？NGFW會同WAF整合嗎？

“安全是保護你想要保護的東西。”Marc說道，“企業有兩層重要的數據需要被保護。一層是網絡層的，一層是應用層的。像UTM，IDS，IPS，下一代防火墻（NGFW）這樣的產品是為網絡層保護提供保護，即保護第三層。而Web應用防火墻是要保護第七層的。我們提供不同的產品，企業根據自身的投資和需求投資不同，購買不同的產品來保護。”

Marc表示，NGFW和WAF是無法整合的。NGFW沒有足夠的能力來保護第七層的應用。在網絡層中，有很多流量，包括數據流等等，但是只有一小部分是應用層的；而應用層中的流量都是獨特的，每個應用流都不同。保護網絡層的殺毒軟件是把病毒庫放進去，你的電腦知道什么是已經發生的，知道已經發生的就可以進行防護。簡單來說，病毒更新就是把已經知道的毒放進來，然后再阻止。這是所謂的被動安全模式。

而攻擊Web應用程序是不同的，你需要進行研究，因為每一個Web應用都是不同的，你找不到規律。你想要保護的是什么將要發生，而不是什么已經發生。現在黑客很聰明，想想你的房子，你有很多門，但是黑客可能從取暖設備中進入，因此你不可能100%的阻止他，但是當他正在進入時，你可以發現并抓住他。在攻擊發生前，阻止攻擊，這叫做主動安全模式，通過學習引擎（Learning engine）實現。

移動設備廣泛普及的趨勢下，是否有針對它們的應用保護措施？

Marc說道，針對移動設備，WAF還是會提供一些保護，但是你還需要別的保護，比如你要怎么控制移動設備對網絡的接入，這需要另外一種產品——NAC（網絡訪問控制）。此外，假設從一臺筆記本電腦把數據下載到另一臺筆記本電腦，這就需要在傳輸過程中加以保護，應該把數據進行加密，否則設備丟失或數據被竊取會帶來很大損失。現在信息安全越來越難做，設備無論從數量還是形式上都發生了很多變化。

Trustwave公司的副總裁Marc Shinbrood先生

Trustwave的2011年全球安全報告結果顯示，超過60%的數據泄漏是由于脆弱的Web應用程序造成的。針對這種情況企業可以做些什么？

“企業有很多事情需要做。”Marc說道，“我們有一個被稱作是‘360度應用防護’的解決方案，這里面包括幾個方面，”：

首先是培訓程序員，告訴他們如何編寫安全的代碼。

第二步是做一個應用層的滲透測試。Marc介紹了Trustwave公司特別的測試方法，不管用戶在全球哪些地方，他們提供了一個門戶網站，用戶可以實時地看到他們在做什么，怎樣做這個測試。通常，公司的測試取決于做測試的這個人，每個人做測試的方式都不一樣，最后用戶看到的只是一份報告，但不知道他做了些什么。

在代碼審查這方面，我們會進行人工代碼審查，幫助他們發現代碼里的問題。

測試后，公司要有一個自動的方式，保證那些補丁被自動打上去。

“但以上這些都只是一次性的項目，”Marc補充道，“你做一個培訓，進行一個測試，都是一次性的，而公司需要的一個自動的每天都可以為公司提供保護的產品，所以我們提供WAF。這樣一來就保證了整個軟件開發周期的安全。”

很多廠商都在提供WAF，你覺得你們的WAF有什么不同之處？

對此，Marc回答道，他們的產品有六方面優勢：

1.最容易使用（SC雜志進行了一個比較，結果顯示Trustwave的WebDefend非常易于使用）

2.價格比較便宜。這指的是你不需要在內部培訓員工對你的Web應用進行保護，因此降低了在人力和資源上的投入。

3.可在線或離線安裝產品。

4.終端用戶體驗。Trustwave不僅看進來的請求（如：http//:www.trustwave.com），還要看請求后的反應。確定請求和返回是否一樣。假設你遇到問題（如網頁打不開，站點找不到），你打電話請求幫助，幫助中心的工作人員可能一上來就問你做了什么，而一般你是記不清的。Trustwave產品可以記錄你做過些什么，幫你發現問題，這就是用戶體驗不同，而不是問你一堆問題。

5.360度應用保護。

6.SpiderLabs每天會提供最新的資料和智能。比如SpiderLabs測試一家公司，發現了一個問題，他們就會先把這個問題放進來，讓別的公司也可以預防。

很多公司倡導建立社區分享信息，在這方面，Trustwave公司有一個ModSecurity，它是一個開源的Web軟件防火墻項目。如果公司想自己建立WAF，可以下載ModSecurity，然后自己開發。Marc表示，中國有很多公司的WAF都是基于ModSecurity的，他們同時可以只收取很少的費用來幫助企業提供一些規則。

未來的安全趨勢

最后，Marc談到，他認為未來趨勢是很多公司不希望內部培訓很多人來管理安全，而是把安全外包出去，采用安全外包服務。這也是他們在未來想要提供的安全服務，希望可以為中國提供這樣的服務。對于云計算的趨勢，Marc表示他們會與提供云服務的公司進行合作，比如Akamai，因為很多做云的公司都不做安全方面的東西，他們只做最基本的認證，如用戶名和密碼，而沒有到Web應用這層。