过去的几十年,企业以部署网络安全、身份访问管理、终端保护为主,如今,应用程序及其处理的数据成为企业的最宝贵资产。对于保护应用程序,网络级的安全有不足之处,其中网络过滤器对应用程序的行为、数据流、组成等都知之甚少。
而且,基于网络的保护要求仅适应基于外围的技术,但近几年来所谓的“外围”已经消亡。公司防火墙也提供了保护,但在员工们使用移动设备时,就会发生动态改变。外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。
企业需要双重保护
网络和应用级的安全都非常重要,因为其着重点不同。网络级的防御是根据源地址、目的地址、源端口以及目标端口来做出安全决策的。虽然这种安全机制运行很快,但它并不检查数据包的应用层,因而就有可能遗漏针对应用层的攻击。
应用层的防御工作要跨越OSI参考模型的全部七层。一般来说,应用层的防御在编制时是针对具体应用的,并且要掌控大量的应用信息。虽然应用层防御一般相对较慢,但它可以有效地过滤哪些命令与相关应用结合使用,并执行有效的应用分析。所以,如果一个应用程序表现出异常行为,安全管理者就有可能在第一时间防止其造成破坏。由于其速度和处理海量通信的能力,我们建议将网络防御放在企业的网关,然后在需要保护的服务之前部署应用层防御。
任何企业都有可能面临应用层和网络层的攻击。如今,企业越来越能够理解针对应用程序的威胁与基于网络的威胁一样可带来严重威胁,甚至其危害更大。而且,攻击者正在使用一种新型攻击:可在应用层和网络层之间切换的多阶攻击。
攻击者通过访问第三方承包商的访问入口,使用合法的凭据访问企业网络。企业使用应用程序控制检测可疑的登录,可以检测或防止此行为。由此,攻击会通过网络转而访问其它系统。在这里,入侵防御系统(IPS)或基于网络的威胁检测工具就有可以检测和阻止攻击。虽然有些企业并不知道自己如何成了靶子,但通过应用程序和网络的安全控制使防御者挫败攻击者。
攻击方法
因为网络层防御并不了解应用层,所以它无法防护常见的应用层攻击,如缓冲区溢出、SQL注入、跨站脚本攻击等。网络层防御擅长的是入口过滤、阻止IT禁止的IP地址、出口过滤、防止通信离开网络,等等。由于应用层产品要执行更大数量级的负载检查,所以将其用作网关设备并且检查通过网关的每个数据包是很不现实的。
从网络方面看,防火墙仍是必须的,而且能够检查应用程序通信的下一代防火墙是非常关键的。从应用程序方面看,在外围和在一些高风险的应用服务器的前面部署WEB安全网关和应用防火墙都非常重要,特权账户的管理产品可以检测并限制或终止可疑的登录或对应用程序的访问。在终端和网络上的威胁检测产品会越来越重要,因为它擅长检测绕过外围的攻击。
下一阶段
应用程序的安全领域最先出现的是应用程序安全检测。其中有三种检测技术还是不错的,即静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用安全测试(IAST)。这些测试可以在企业部署应用程序之前就分析其代码和查找安全漏洞,并模仿黑客的攻击行为,查找在WEB应用程序中有漏洞的控制。
但是,我们还必须强调应用程序的自我保护技术。近年出现的就是运行时应用程序的自我保护(RASP)。在应用程序运行时,这种技术实际上可以检测并识别攻击,并在攻击者利用应用程序的漏洞之前就加以阻止。这种有重要价值的技术势必对技术和市场有所改变。
作者:赵长林
来源:51CTO