虚拟补丁:为你的Web应用程序贴上创可贴

日期: 2011-11-13 作者:刘平 来源:TechTarget中国

一些人认为,关于计算机的安全已由最初的物理安全,随后的网络安全发展到现在的应用安全。这种说法有一定的道理,我们看到,攻击者已将攻击目标转向Web应用程序,通过Web应用程序漏洞,黑客可以渗透到你最敏感的数据,甚至渗透到数据库。与此同时,安全厂商们相应地推出了诸如Web应用防火墙(WAF)这样专门保护Web应用程序的产品。这些产品是否有效?企业还应该部署哪些解决方案来保护Web应用程序?近日,本站记者在OWASP中国大会上,采访了Trustwave公司的副总裁Marc Shinbrood先生,就Web应用程序安全的问题进行了探讨。

  虚拟补丁是创可贴

  什么是虚拟补丁?它是一种可以使IT人员摆脱补丁管理困境的解决方案。虚拟补丁技术旨在通过控制受影响的应用程序的输入或输出,来改变或消除漏洞。Marc解释道,作为虚拟补丁的提供者,我们登录一个网站,查看该网站是否有问题和弱点,如果有,我们将该问题或弱点称为‘事件’,然后研发团队(Trustwave的研发部门是SpiderLabs)的工作就是将一个命令写到WAF里,让别人无法进入该漏洞,也就是让黑客无法利用该漏洞做任何有害的事情。

  “但这就像是一个创可贴,比如你有一个伤口,你先用创可贴贴上,紧急补救一下,随后你需要去医院,让医生把这个伤口缝起来。”Marc补充道。

  虚拟补丁只应用于WAF?别的安全产品里可不可以使用?

  Marc表示,Web应用程序是实时的,可以及时打补丁。一般情况下,一个Web应用程序的漏洞从发现到修复需要6个月的时间,而在这段时间里,黑客是不会静观其变的,所以及时打上补丁很重要,这也就是虚拟补丁的重要性。它的好处一是,可以在不影响应用程序和其相关库以及为其提供运行环境的操作系统的情况下,为应用程序安装补丁。二是,如果一个应用程序的早期版本已不再获得供应商支持,则此时虚拟补丁是支持该早期版本的唯一方法。

  虚拟补丁的意义在于它的及时性和差异性,不是所有东西都需要虚拟补丁的。比如操作系统(OS),基本上操作系统在每个地方每个时间都是相同的,你只需要定期从网站上下载安装针对它的统一补丁即可。而Web应用程序不同,每一个Web应用都是不同的,比如Peoplesoft,你怎么使用与别人怎么使用是不一样的,因此需要及时的有针对性的修补。

  谁是医生?

  Marc表示,他们在提供创可贴的同时,也是医生。“作为一个医生,我们会告诉病人我们看到了什么问题,这个是你的诊断书,怎么处理可以自己决定。你是想做一个手术,还是每天早上吃药?”

  “就我们公司而言,我们提供了易于使用的Web应用防火墙(WAF)——WebDefend。”

  未来防火墙的趋势是为低端市场提供功能整合(比如UTM),为高端市场提供功能细分(比如WAF)?NGFW会同WAF整合吗?

  “安全是保护你想要保护的东西。”Marc说道,“企业有两层重要的数据需要被保护。一层是网络层的,一层是应用层的。像UTM,IDS,IPS,下一代防火墙(NGFW)这样的产品是为网络层保护提供保护,即保护第三层。而Web应用防火墙是要保护第七层的。我们提供不同的产品,企业根据自身的投资和需求投资不同,购买不同的产品来保护。”

  Marc表示,NGFW和WAF是无法整合的。NGFW没有足够的能力来保护第七层的应用。在网络层中,有很多流量,包括数据流等等,但是只有一小部分是应用层的;而应用层中的流量都是独特的,每个应用流都不同。保护网络层的杀毒软件是把病毒库放进去,你的电脑知道什么是已经发生的,知道已经发生的就可以进行防护。简单来说,病毒更新就是把已经知道的毒放进来,然后再阻止。这是所谓的被动安全模式。

  而攻击Web应用程序是不同的,你需要进行研究,因为每一个Web应用都是不同的,你找不到规律。你想要保护的是什么将要发生,而不是什么已经发生。现在黑客很聪明,想想你的房子,你有很多门,但是黑客可能从取暖设备中进入,因此你不可能100%的阻止他,但是当他正在进入时,你可以发现并抓住他。在攻击发生前,阻止攻击,这叫做主动安全模式,通过学习引擎(Learning engine)实现。

  移动设备广泛普及的趋势下,是否有针对它们的应用保护措施?

  Marc说道,针对移动设备,WAF还是会提供一些保护,但是你还需要别的保护,比如你要怎么控制移动设备对网络的接入,这需要另外一种产品——NAC(网络访问控制)。此外,假设从一台笔记本电脑把数据下载到另一台笔记本电脑,这就需要在传输过程中加以保护,应该把数据进行加密,否则设备丢失或数据被窃取会带来很大损失。现在信息安全越来越难做,设备无论从数量还是形式上都发生了很多变化。

Trustwave公司的副总裁Marc Shinbrood先生

图为Trustwave公司的副总裁Marc Shinbrood先生在采访现场

  Trustwave的2011年全球安全报告结果显示,超过60%的数据泄漏是由于脆弱的Web应用程序造成的。针对这种情况企业可以做些什么?

  “企业有很多事情需要做。”Marc说道,“我们有一个被称作是‘360度应用防护’的解决方案,这里面包括几个方面,”:

  • 首先是培训程序员,告诉他们如何编写安全的代码。
  • 第二步是做一个应用层的渗透测试。Marc介绍了Trustwave公司特别的测试方法,不管用户在全球哪些地方,他们提供了一个门户网站,用户可以实时地看到他们在做什么,怎样做这个测试。通常,公司的测试取决于做测试的这个人,每个人做测试的方式都不一样,最后用户看到的只是一份报告,但不知道他做了些什么。
  • 在代码审查这方面,我们会进行人工代码审查,帮助他们发现代码里的问题。
  • 测试后,公司要有一个自动的方式,保证那些补丁被自动打上去。

  “但以上这些都只是一次性的项目,”Marc补充道,“你做一个培训,进行一个测试,都是一次性的,而公司需要的一个自动的每天都可以为公司提供保护的产品,所以我们提供WAF。这样一来就保证了整个软件开发周期的安全。”

  很多厂商都在提供WAF,你觉得你们的WAF有什么不同之处?

  对此,Marc回答道,他们的产品有六方面优势:

  1.最容易使用SC杂志进行了一个比较,结果显示Trustwave的WebDefend非常易于使用)
  2.价格比较便宜。这指的是你不需要在内部培训员工对你的Web应用进行保护,因此降低了在人力和资源上的投入。
  3.可在线或离线安装产品。
  4.终端用户体验。Trustwave不仅看进来的请求(如:http//:www.trustwave.com),还要看请求后的反应。确定请求和返回是否一样。假设你遇到问题(如网页打不开,站点找不到),你打电话请求帮助,帮助中心的工作人员可能一上来就问你做了什么,而一般你是记不清的。Trustwave产品可以记录你做过些什么,帮你发现问题,这就是用户体验不同,而不是问你一堆问题。
  5.360度应用保护。
  6.SpiderLabs每天会提供最新的资料和智能。比如SpiderLabs测试一家公司,发现了一个问题,他们就会先把这个问题放进来,让别的公司也可以预防。

  很多公司倡导建立社区分享信息,在这方面,Trustwave公司有一个ModSecurity,它是一个开源的Web软件防火墙项目。如果公司想自己建立WAF,可以下载ModSecurity,然后自己开发。Marc表示,中国有很多公司的WAF都是基于ModSecurity的,他们同时可以只收取很少的费用来帮助企业提供一些规则。

  未来的安全趋势

  最后,Marc谈到,他认为未来趋势是很多公司不希望内部培训很多人来管理安全,而是把安全外包出去,采用安全外包服务。这也是他们在未来想要提供的安全服务,希望可以为中国提供这样的服务。对于云计算的趋势,Marc表示他们会与提供云服务的公司进行合作,比如Akamai,因为很多做云的公司都不做安全方面的东西,他们只做最基本的认证,如用户名和密码,而没有到Web应用这层。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

刘平
刘平

相关推荐