過去的幾十年,企業以部署網絡安全、身份通路管理、終端保護為主,如今,應用程式及其處理的資料成為企業的最寶貴資産。對于保護應用程式,網絡級的安全有不足之處,其中網絡過濾器對應用程式的行為、資料流、組成等都知之甚少。
而且,基于網絡的保護要求僅适應基于外圍的技術,但近幾年來所謂的“外圍”已經消亡。公司防火牆也提供了保護,但在員工們使用移動裝置時,就會發生動态改變。外圍不複存在,是以我們如何期望防火牆保護員工呢?防火牆如何保護移動裝置上的應用呢?是以,企業既要利用網絡級的保護,更要重視利用應用級的保護。
企業需要雙重保護
網絡和應用級的安全都非常重要,因為其着重點不同。網絡級的防禦是根據源位址、目的位址、源端口以及目标端口來做出安全決策的。雖然這種安全機制運作很快,但它并不檢查資料包的應用層,因而就有可能遺漏針對應用層的攻擊。
應用層的防禦工作要跨越osi參考模型的全部七層。一般來說,應用層的防禦在編制時是針對具體應用的,并且要掌控大量的應用資訊。雖然應用層防禦一般相對較慢,但它可以有效地過濾哪些指令與相關應用結合使用,并執行有效的應用分析。是以,如果一個應用程式表現出異常行為,安全管理者就有可能在第一時間防止其造成破壞。由于其速度和處理海量通信的能力,我們建議将網絡防禦放在企業的網關,然後在需要保護的服務之前部署應用層防禦。
任何企業都有可能面臨應用層和網絡層的攻擊。如今,企業越來越能夠了解針對應用程式的威脅與基于網絡的威脅一樣可帶來嚴重威脅,甚至其危害更大。而且,攻擊者正在使用一種新型攻擊:可在應用層和網絡層之間切換的多階攻擊。
攻擊者通過通路第三方承包商的通路入口,使用合法的憑據通路企業網絡。企業使用應用程式控制檢測可疑的登入,可以檢測或防止此行為。由此,攻擊會通過網絡轉而通路其它系統。在這裡,入侵防禦系統(ips)或基于網絡的威脅檢測工具就有可以檢測和阻止攻擊。雖然有些企業并不知道自己如何成了靶子,但通過應用程式和網絡的安全控制使防禦者挫敗攻擊者。
攻擊方法
因為網絡層防禦并不了解應用層,是以它無法防護常見的應用層攻擊,如緩沖區溢出、sql注入、跨站腳本攻擊等。網絡層防禦擅長的是入口過濾、阻止it禁止的ip位址、出口過濾、防止通信離開網絡,等等。由于應用層産品要執行更大數量級的負載檢查,是以将其用作網關裝置并且檢查通過網關的每個資料包是很不現實的。
從網絡方面看,防火牆仍是必須的,而且能夠檢查應用程式通信的下一代防火牆是非常關鍵的。從應用程式方面看,在外圍和在一些高風險的應用伺服器的前面部署web安全網關和應用防火牆都非常重要,特權賬戶的管理産品可以檢測并限制或終止可疑的登入或對應用程式的通路。在終端和網絡上的威脅檢測産品會越來越重要,因為它擅長檢測繞過外圍的攻擊。
下一階段
應用程式的安全領域最先出現的是應用程式安全檢測。其中有三種檢測技術還是不錯的,即靜态應用安全測試(sast)、動态應用安全測試(dast)、互動式應用安全測試(iast)。這些測試可以在企業部署應用程式之前就分析其代碼和查找安全漏洞,并模仿黑客的攻擊行為,查找在web應用程式中有漏洞的控制。
但是,我們還必須強調應用程式的自我保護技術。近年出現的就是運作時應用程式的自我保護(rasp)。在應用程式運作時,這種技術實際上可以檢測并識别攻擊,并在攻擊者利用應用程式的漏洞之前就加以阻止。這種有重要價值的技術勢必對技術和市場有所改變。
作者:趙長林
來源:51cto