Gartner: Web應用防火墻能夠支持應用安全開發
華盛頓國家海港——企業的信息安全團隊一直努力捍衛著軟件開發的安全,但是由于諸多原因一直在“打敗仗”。這就是為什么Gartner一位分析師認為現在該是時候將戰略的重點轉移到使用Web應用防火墻來增強應用,把它作為更為廣泛的應用安全架構的一部分。
在Gartner安全與風險管理峰會上,演講人Ramon Krikken直截了當地表示當前企業的應用安全狀態不妙。他是Gartner公司的研究副總裁,該公司位于康涅狄格州斯坦福市。
Krikken援引了來自WhiteHat Security有限公司的統計數據,該數據表明在去年一年幾乎三分之一的Web應用容易受到SQL注入攻擊,并且超過三分之二的Web應用有跨站點腳本缺陷。同樣WhiteHat Security估計銀行業將會需要400個工作日來為它們應用中存在的90%的缺陷打補丁,Krikken引用該數據是因為銀行業在為應用安裝補丁方面可能還是做的最好的。
“除了這個調查以外沒有太多的研究結果,但是從眾多傳聞的證據、以及我同客戶和同事的討論來看,事實上企業的安全團隊和開發團隊之間沒有建立良好的協作關系”,Krikken說到。“搞安全的家伙們寫完報告,然后對開發人員說,’這里,看看這個’。這么做似乎不太可能有益于把事情做好”。
Krikken表示對于安全團隊來說令人沮喪的現實是開發人員們一直以來從未有動力去解決應用開發安全這個問題,除非是發生安全事故后、或是滿足合規要求才會被迫這么做。
“如果你觀察人們的考察方式:他們會根據自身是如何被考察的來做任何他們被要求做的事情,不多也不少”,Krikken說到。“如果我是按照軟件完工的時間來考察,并且沒有人真正地從安全角度來衡量我的工作;那么我會在要求的時間點交付軟件,但是它有漏洞;事實就是這樣”。
最近,企業移動應用開發的迅猛增長只是進一步強化了人們的這種心態,Krikken補充到。因為大多數公司的成功不是由移動應用可能有多么安全來衡量的,而是根據它可以多快開發出新版本的應用來在線上的應用商店里銷售。
應用安全的挑戰已經發展成通過開發來解決也是如此的艱難。相反他鼓勵企業考慮一個備選策略,該策略較少地依賴開發人員并且更多地將防御技術——像Web應用防火墻(簡稱WAF)、數據庫審計和保護(簡稱DAP)產品以及XML網關——集成到企業的應用架構中。他表示像WAF這樣外件化的組件應該配合代碼框架及平臺特色使用,以便填補安全功能的空白。
Krikken表示簡單地從純經濟的立場來看,對于許多公司來說不斷地實施補丁也是一種成本過高的解決方案,特別是對于關鍵業務的系統上。現在是時候問問用像WAF這樣的設備是否比永無止盡的開發、測試和實施軟件補丁更快、更便宜、而且同樣有效。
WAF是一種設備、或是服務器軟件附件,能夠監控和攔截前往和來自應用的流量。它們在許多企業中已經變得十分常見,特別是那些必須遵從支付卡行業數據安全標準(簡稱PCI DSS)的公司。這些公司要么需要使用WAF,要么需要頻繁地審查應用的代碼。
Krikken說到:“通常我是最后一個給出建議的人——如果你遇到某個問題——使用技術來解決它、或者是在它前面放置一些東西進行過濾,因為從開始就搭建安全的應用是不錯的主意,但是你無法對所有的應用都這么做”。
Krikken強調對于信息安全團隊來說,從內部推動安全的軟件開發仍然十分重要,并且要鼓勵開發團隊盡可能頻繁地更新不安全的應用代碼。然而,這項極具挑戰的、要贏得開發人員“民心”的任務必須通過圍繞應用使用額外的安全技術來輔助完成。
“越來越多的客戶開始問我,是否在應用前面放置Web應用防火墻來修補漏洞比起修補代碼更加糟糕?”Krikken表示,對于企業來說需要更多的時間和工作來理解在他們的架構中增加新的應用安全技術的重要性。但是對應用進行防御而不是打補丁的概念盡管有些超前,好像更容易被人們理解和接受。他表示一些企業質疑如此嚴重地依賴于一個WAF設備、或是類似的安全產品是否明智。PCI DSS認證安全評估員(QSA)是否會容忍這種情況還不知道。
Excelon公司的峰會出席人Louis Robinson表示Krikken的方法是對的,特別是對于企業來說要盡量權衡在哪里設計應用的安全功能,是在應用自身內部還是與它并行設計。“在與開發人員一起工作時,你不能把所有事情都依賴于代碼,特別是因為性能。”正如任何大的IT策略變化一樣,PCI DSS也要考慮。但是對于許多企業來說這不一定是受阻的原因,因為對于整體企業信息安全,許多人質疑PCI DSS的效果。
盡管Krikken試圖堅定地強調需要向開發人員進行安全“布道”,他懇請安全人員要理解開發人員:即使是那些最有好意的人,永遠也不會是安全專家。Krikken表示:“在內部構件安全這種話你已經聽過很多次了,這也是我一直努力的。但這是一種錯誤的表達。開發人員不這么做通常是因為他們認為那意味著他們必須在應用內搭建所有需要的安全功能。我不想他們那樣做;我想讓他們關注他們擅長的東西。”
