文档章节

十年未变!安全,谁之责?(下)

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/01/26 10:52
字数 1818
阅读 33
收藏 1

十年未变!安全,谁之责?(上)中,我们介绍了安全领域的现状和RASP新的解决方案,那么 RASP 究竟是什么?它在应用安全多变 的今天又能带给我们什么样效果?我们将通过何种方式才能打赢这场与黑客之间的攻坚战呢?

别打昨日之仗(一)

应用安全行业快速发展的数十年间,出现了许多巨变。我们不仅看到过能塞满一整间屋子的电脑,那些曾经耗费数万美元、运行一次需要数周的设备,现在只需十多美元,几个小时内就能运行完毕。AsTech 仍在为许多重要应用进行人为测评,但是,可喜的是,现在出现了一些能够对数量庞大的应用安全状态进行合理测评的工具。既然我们可以持续地监测应用状态,有关应用安全的担忧是否可以抛之脑后了呢?

应用监控方面的惊人进展却也凸显了应用程序安全链的另一重要环节:如何修复安全漏洞?我们可以耗费大量资金事无巨细地测试每一行软件代码,但是如果没法修复检测出来的问题,还是于事无补。事实上,自动修复解决方案总是伴随着软件测评市场一同出现,这些解决方案正逐渐提高我们的测评能力。一直以来,WAF 都是优秀测评修补程序的重要补充,但却无可避免地需要极高的专业水准与细粒度的优化才能发挥最高效率。除非我们的代码能够自动修复漏洞,否则,我们在应用安全的道路上还有很长的路要走。实时应用程序安全保护(RASP)是应用程序安全链中新出现的一环,它能将你无数的开放漏洞变为可以管理掌控的小问题。

尽管无法修补源码中的安全漏洞,RASP 能够自动防御许多通过常见漏洞进行的攻击,大大地简化该问题。RASP 会被插入运行中的应用栈,通过修改应用的行为,有效防止由程序漏洞而引起的攻击。有了这种解决方案,有限的应用安全开发资源得到了解放,转而专注于那些只有人才能解决的问题,比如修改易受攻击的代码,管理修复生命周期,以及/或优化管理 WAF 安装配置。

总之,即便你有无限的资源,也找不到足够的应用安全专家解决所有问题。随着 WAF 与 RASP 这类解决方案日臻完善,有限的人力资源可以将时间花在更感兴趣的方面,而由自动化解决方案扛起更多工作。一种切实可行的综合解决方案,包括有效全面的自动化部署、与开发流程的紧密集成,再由专家对关键应用进行评测与修复,终于出现并赶上了爆炸式成长的软件开发业。

##安全培训

Cigital 公司的 Steven 说除了沟通,安全培训是另外一个关键内容。「我们招聘并培训开发人员是因为时间告诉我们不这么做就不会做成事情。」他说道。「我认为当你审视安全从业人员社区时,你会发现很多测试人员和安全专家都会学一些编程技术以便更好地从事自己的工作,我认为很多这种设计——注意我说的是真正的设计决策,通过缺陷分类问题,正确的设计或解决软件安全问题的积极办法——我认为这有点超出他们的能力范围。」

「从业成员也有不同的类型,」他继续说到。「我们能够从 OWASP 社区了解这些测试专家:有些人在渗透测试拥有五年或十年的工作经历,这群人可能并不了解开发,也并没有和管理层人员有过沟通交流,因此建造一直安全团队可能比较困难。当他们与组织架构师谈及采用一个全新开源的结构或库的时候,你能够想象到这对他们来说将会是一个不小的挑战。理解鸿沟不仅仅存在于开发层面,结构层面同样也是如此。」

针对漏洞的培训和企划同样也是 Rogue Wave 公司的 Cope 所提供的建议。「保护自己的唯一办法是更新至最新的补丁,了解最新的新闻和使用最新的办法,并期待它们一直如此……面对所有的这些软件,将会有更多的安全漏洞出现,你需要做到有备而战,使用工具,准备好提醒措施以便能够快速知道问题在哪儿,是来自于开源项目还是另有它处,知道问题所在后有适当的缓解措施以便知道那些地方受到了影响。」

「如果有一个新的 OpenSSl 补丁,我该怎么办呢?我怎么知道在我的机器环境(虚拟或是物理)需要更新?以及如何操作?谁进行该操作?整个缓和计划必须是一个长期进行的过程。」

##打正确的仗

所有人都同意只要软件还存在,有所图的人就定会利用它的缺陷。但并不是因为黑客攻击得不到最终阻止就不值得尝试任何安全软件。

Rogue Wave 公司的 Cope 这么说道:

「这就有点像达尔文主义……适者生存。如果你能快速的打好补丁,那么你就能够挡回处于食物链最底层的黑客,也许他们由于技术陈旧仍然寻找着那些没有及时更新打好补丁的机器。因此如果你正在某个公司承担着安全任务,那么你至少要解决那些陈旧的已知漏洞问题,因为没有这么做的人将会是一个更容易实现的目标,因此那些花了几个小时攻击你的站点的黑客在发现更容易的目标后就不会继续打扰你了。」

「很不幸,但是事实是你不是在与黑客进行某场比赛,而是与那些更新没有你迅速及时的人比赛。这就像你穿上网球鞋,不是为了要跑赢熊,而是为了跑赢你的朋友。」

原文地址:http://sdtimes.com/stop-fighting-yesterdays-software-security-wars/#ixzz3ujcSTpgk

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客 本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
十年未变!安全,谁之责?(上)

在 OWASP(Open Web Application Security Project)2015 年的年报中,SQL注入和跨站点脚本再次被列入Top 10软件隐患。 你是否觉得过去十年一直一成不变,从表面上也可以这么看。那么,为什么...

OneAPM蓝海讯通
2016/01/22
18
0
Discourse —— 来自 Stackoverflow 的开源论坛

Discourse 是 Stack Overflow 的联合创始人 Jeff Atwood 推出的一个新的开源论坛项目,其目的是为了改变十年未变的论坛软件。它摒弃了传统论坛的话题讨论形式、拥有自学习系统、全Web应用同时...

oschina
2013/02/06
15
0
毕业的第一个十年

时光荏苒,转眼间,大学毕业已十年,想来宛如一场梦。十年,是一个重要的节点,所以班上的同学筹划着办同学会,笔者以第一个到校的实际行动表达了对这次同学会的支持。 这座城市变化很大。下...

NashMaster2011
2013/07/25
0
0
开源论坛项目--Discourse

Discourse 是 Stack Overflow 的联合创始人 Jeff Atwood 推出的一个新的开源论坛项目,其目的是为了改变十年未变的论坛软件。它摒弃了传统论坛的话题讨论形式、拥有自学习系统、全Web应用同时...

匿名
2013/02/06
45.4K
24
Discourse 1.6.7 发布,非传统开源论坛

Discourse 1.6.7 发布了,Discourse 是 Stack Overflow 的联合创始人 Jeff Atwood 推出的一个新的开源论坛项目,其目的是为了改变十年未变的论坛软件。它摒弃了传统论坛的话题讨论形式、拥有...

王练
2016/11/16
1K
2

没有更多内容

加载失败,请刷新页面

加载更多

记一次项目启动报java.lang.StackOverflowError

项目是spring boot,之前没有问题,突然有一次debug方式启动的时候报这个错误。 因为其他同事没有问题,线上也没有问题,所以先排除了是代码问题。 开始以为电脑开的软件太多,然后给jvm的内存...

chro008
8分钟前
5
0
idea 2019.2免费激活码

亲测有效到2020.6 812LFWMRSH-eyJsaWNlbnNlSWQiOiI4MTJMRldNUlNIIiwibGljZW5zZWVOYW1lIjoi5q2j54mIIOaOiOadgyIsImFzc2lnbmVlTmFtZSI6IiIsImFzc2lnbmVlRW1haWwiOiIiLCJsaWNlbnNlUmVzdHJpY3Rpb......

Iverson58
16分钟前
3
0
移动APP开发中的重要注意事项

您的移动app在变化吗?如果没有,请确保遵循这些提示进行移动app开发。大多数行业的IT领导者都优先考虑劳动力和消费者的移动性。实现成功的移动app开发具有挑战性,涉及在app功能开发的基础上...

a429011717
23分钟前
5
0
Qt编写自定义控件69-代码行数统计

一、前言 代码行数统计主要用来统计项目中的所有文件的代码行数,其中包括空行、注释行、代码行,可以指定过滤拓展名,比如只想统计.cpp的文件,也可以指定文件或者指定目录进行统计。写完这...

飞扬青云
41分钟前
10
0
驰骋工作流引擎-ccflow关于 “ 是否自动计算未来的处理人”的功能变更

关键字:流程未来节点处理人 工作流快速开发平台 工作流流设计 业务流程管理 asp.net 开源工作流 业务背景:一个流程在启动起来后,是可以对一些节点计算出来处理人是谁,流程的走向。对于另...

孟娟
57分钟前
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部