Aberdeen 曾提出一份报告,针对机构应该如何优先管理积极风险的问题,提出了考虑将 Runtime Application Self-Protection (RASP) 作为企业应用程序安全的主流选择的建议。
企业应用程序安全新方案
1.企业的应用程序组合数量庞大、复杂且笨重,对业务影响极大
不管从哪个方面来看,应用程序组合对企业实现战略业务目标都至关重要。
然而,典型的企业应用程序组合又总是数量庞大、复杂而且笨重。企业应用程序的数量与复杂程度包括以下几方面:
- 传统的企业支持应用程序的数量从几十到几百,更不要提用户安装在智能手机、平板电脑和笔记本电脑的上成百上千个移动应用程序了——有些受支持,但是大部分不受支持。
- 当下,企业应用程序类别更有自己额外的复杂分级,其中有些应用程序可能由内部开发团队、外包开发团队、代表企业的系统集成人员,或者是这些开发团队选用的开源社区进行开发并维护的——而且更有可能的是由以上几个团队共同完成。
- 至于应用程序交付平台,各个组织机构都迫切希望利用虚拟化和云计算灵活性和低成本带来的便利——不过他们在可见性和可控性方面依然十分谨慎,尤其是涉及核心商业的那些应用程序
这里最重要的启发是,按照定义来说,企业的应用程序档案对组织实现战略商业目标至关重要——然而随着时间推移,这个档案必然会变得越来越庞大,越来越复杂。
2. 这就让犯罪分子有了可乘之机:为什么你的企业应用程序会遭到攻击?
- 攻击者越来越致力于攻击核心、战略型目标,从而使他们的付出得到的回报最大化。
- 服务器最容易受到攻击,大概是因为攻击者知道那里储存着数据。
这个观点在 Verizon 发布的《 2015 年数据泄露调查报告》中得到了验证。经分析,过去十几年来超过 90% 的数据泄露事件所用的攻击方法只有九种——而且在这期间导致数据泄露最多的攻击方法就是攻击网站应用程序。
表1:已确认的数据泄露事件,2006-2014年
| 攻击类型 | 确认数量 |
|---|---|
| 网络应用程序攻击 | 458 (26%) |
| 销售点入侵 | 419(24%) |
| 网络间谍 | 290(17%) |
| 犯罪软件 | 287(17%) |
| 内部误用 | 129(7%) |
| 信用卡盗用 | 108 (6%) |
| 盗窃 | 35(2%) |
| 其它错误 | 11 (1%) |
| 合计 | 1737(100%) |
信息来源:《 Verizon 2015 DBIR 》节选;Aberdeen 集团,2015年6月。
在表 1 所示的同一个时间段内(2006-2014年),一共有 60879 家企业加入了国家漏洞数据库,因此安全意识并不是问题所在。真正的挑战在于搞清楚应该做什么,说服其他人这么做是值得做的,真正去做——并且在飞速变化的环境中坚持不断去做!
目前的 20 个关键安全控制(5.1版)还带来了8个更高级别的要求,Aberdeen 已经将其修订成适用于应用程序安全问题的内容:
- 了解在你的网络环境中有哪些应用程序
- 确保你的应用程序得到安全配置
- 确保你的应用程序安装补丁,并及时更新
- 备份并保护你的重要数据
- 保护你的网络
- 管理你的用户、用户账号以及他们对企业应用程序的访问
- 注意周围环境发生的变化
- 时刻准备着对出现的问题进行响应
3. 确保企业应用程序安全的三个策略以及一个新的备选方案
这些探讨中不可避免地遇到的问题可以最终归结为安全、商业目标、整体成本以及某种程度上的管理哲学等问题的集合。
| 策略 | 描述 | 技术例证 |
|---|---|---|
| 搜索和修复 | 尝试识别目前开发的应用程序中的安全漏洞(一般由安全团队完成),然后由开发团队解决。 | -网络漏洞扫描 -应用程序发现 -应用程序漏洞扫描 -渗透测试 -道德攻击 |
| 防御和延迟 | 增强目前开发的应用程序的安全性,减少或延迟需要开发团队解决的安全漏洞。 | -网络应用程序防火墙 (WAF) -应用级代理 -网页安全(网页监控/过滤) -虚拟批处理 -实时应用程序自我保护 (RASP) |
| 根源保障 | 将安全测试实践、工具和测试加入软件开发生命周期 (SDLC),在应用程序部署之前消除更多安全漏洞。 | -源代码审核(手动) -软件测试(包括单元测试、功能测试、性能测试、验收测试和安全测试) -源代码分析和验证(包括静态、动态和互动) -第三方应用软件测试 |
信息来源:Aberdeen 集团,2015年6月。
4. 一个新的备选方案:Runtime Application Self-Protection (RASP)
一种新的确保应用程序安全的方法已经出现,它被称为 Runtime Application Self-Protection (RASP)。
RASP 的概念是把安全保护代码内嵌(或者有时候被称为安装)到某个应用程序的运行环境,实时提供该应用程序详细可见的收到的请求。关键点是,这种可见信息来自应用程序本身,而不是来自网络的变化。
另外,RASP 技术是被设计用来分析应用程序本身的流量和上下文,以区别于正常的应用程序行为和危险行为。
在这些性能的基础上,RASP 提供的正是 Aberdeen 在《Putting Threat Intelligence in Perspective 》(2014年12月)中探讨的威胁情报,它具有至少四个显著特点(表3)。
表3:威胁情报的四个特点及其在 RASP 中的体现
| 危险情报特点与描述 | 实时应用程序自我保护 (RASP) | |
|---|---|---|
| 来自合格可信的第三方来源。 | 考虑基础设置防护的水平和复杂程度,信息优势是防卫者打败攻击者的最佳方式。 | 在 RASP 模式下,信息来源是企业自己的应用程序档案。 |
| 提供主动攻击活动的洞察力。 | 我们已经拥有的大量潜在威胁、漏洞、利用信息,与主动攻击活动的实际“谁、什么、哪里、何时和如何”信息有很大的不同。 | RASP 的设计目的是为内置 RASP 的企业应用程序提供主动攻击的“谁、什么、哪里、何时和如何”信息。 |
| 为组织风险提供获取相关见解的方法。 | 在我们的组织的特定语境下,风险总是具备相似性和商业影响的作用。情报结合自知之明是确定正确、基于风险的行动的唯一方法。 | 在 RASP 模式下,组织明白他们在管理真正的应用程序攻击,而不是管理漏洞带来的后果以及未来应用攻击的可能性。待修复漏洞的优先级和理由就会变得清楚明确。 |
| 包括活动或额外帮助的选项。 | 获取情报很重要,但是在需要的时候能够具备能够有效响应的知识和能力更为关键,这样才能获得情报的真正价值。 | RASP 的设计目的是实时消除恶意应用程序行为,并发出警报来提醒组织优先处理关键事务。 |
信息来源:Aberdeen 集团,2015年6月。
如果你所在的组织机构还未采用 RASP 来维护应用程序安全,以下分析强烈建议你们主动考虑采用这种新的备选方案 RASP。首先,需要评价的逻辑维度包括以下几点:
- 支持贵机构应用程序组合所用的编程语言
- 解决方案实时分析的准确性
- 解决方案在应用程序中的表现