2016年初,正當人們在憧憬新一年的美好愿景之時,中國股市的兩次“熔斷” 和一場席卷半個中國的寒潮給許多人的心理和身理上帶來了雙重寒意。悲觀的人也許會認為這一年已經蒙上了一層陰影,而樂觀的人則相信嚴寒過后溫暖的春天就要到來。同樣對于“應用安全”領域而言,層出不窮的應用漏洞、各種形式的應用攻擊、不斷曝光重大事故,給各種應用的開發者、運營者及最終用戶造成了不小的心理陰影。
這幾年間,我們多少都會注意到應用本身在發生的一些變化。我們今天所看到的應用與幾年前的應用有很大的不同。特別是如今的應用設計與開發,受云計算、移動網絡等技術的發展所影響,所以在應用市場,基于云計算、支持智能移動設備的應用的市場份額越來越高。一些技術正在死去,個別仍有機會重生,但市場上最活躍的永遠是新生的事物。未來我們會看到更多的傳統應用向新的應用遷移。所以我們談論今天的應用安全,更多的焦點會落在以云計算應用和移動應用為代表的新應用上來。
應用的威脅發生了哪些變化?
首先,越是知名的應用、用戶數量越多,越容易成為攻擊者的目標。
而應用安全都不總是與應用的規模成正比,一些知名應用的安全性只是比一般應用稍好一點。從近年來國內外的一些著名應用攻擊案例看來,攻擊者的目標更加直接而明確,動作迅速而隱蔽,而且破害力極大。一次攻擊搞垮一家公司并不是只出現在電影情節中,現實中依然可能發生。所以如果你的應用上了一定規模,那么一定要特別重視應用安全,而且不僅僅是重視,還應該有具體的措施。
第二,應用安全應該根據不同的服務模型采取不同的方法。
以基于云計算的應用為例。采用SaaS或PaaS的服務模型的應用在各個方面就有明顯的區別。當對其展開安全工作時,有些安全措施和方法在這個模型下有效,而在另一個模型下就無效或效果不佳。所以在方法就應該有所差別,不能一概而論。而各種新型的應用模型的出現,對應用安全是一種挑戰。相關的安全技術的創新和突破也不斷出現。這些領域的各種創新和進展都值得應用安全的管理者關注。特別是要重點關注一些新興的已經得到認可和廣泛的使用的應用服務模型。目前的熱點仍在云應用和移動應用方面。下圖是給各位讀者推薦的一個混合云模型的參考,如圖:
第三,不僅要關注應用自身安全,還要關注生態系統及應用周邊的安全。
今天的應用安全并不是只做好自身就夠了。去年曝光的“XcodeGhost"事件就是一個例子,Apple公司的應用開發工具Xcode被植入惡意代碼,導致國內外許多公司的應用受到影響。類似這樣的風險是許多應用廠商以往從未考慮過的,更沒有相應的的安全設計來消除的這類風險。而第三方工具只是應用所處的生態系統中的一個環節,還有許多環節的安全問題會影響到我們的應用。對于這一點,我們要有意識地去關注和獲取一些安全情報,這是一項非常必要的工作,它讓我們的安全視野從近景拉到遠景,從而及時發現感知潛在的安全問題。
盡管安全形勢不容樂觀,但應用安全的內外部環境的變化趨勢似乎漸漸明朗,許多應用安全的思想和方法在過去的基礎上繼續發展進化。我們相信未來蘊含著許多機遇,而前提是我們需要做好準備,并開動腦筋從各個方面去迎接應用安全的挑戰,努力讓我們的應用變得更安全。
全生命周期保障應用安全
顯然,如果可以在整個軟件開發生命周期內,管理漏洞測試并可以自動關聯靜態、動態和互動式測試結果,才是解決問題的關鍵。面對這種現狀,IBM推出了應用安全測試解決方案IBM Security AppScan,其針對移動和基于 Web 的應用提供先發制人式保護,可保護應用當前不被惡意使用,并補救未來可能的潛在攻擊,讓安全和開發團隊能夠在整個應用生命周期中協作、制定策略并擴展測試。
據了解,在開發過程中IBM Security AppScan通過在軟件開發過程中及早識別基于 Web 的和移動應用源代碼漏洞并在部署之前使之消失,幫助組織節省成本,降低風險。為了提供增強的移動應用掃描功能,并支持對移動 Web、本機應用和混合應用的測試,IBM Security AppScan包含對 JavaScript、HTML5、Java 和 Objective-C 的支持,同時也支持與 IBM Worklight Studio 集成,并可掃描 Worklight 應用。
在集成和發布階段,可以通過簡單的配置,使用IBM Security AppScan對應用進行全面的掃描,企業僅需要指明 Web 應用的入口鏈接,IBM Security AppScan就會利用網絡爬行(Crawling)技術,遍歷應用中所有需要測試的鏈接,并對每個鏈接發送多種測試參數,診斷其有無漏洞可被利用,最后將結果呈現在用戶面前。
值得一提的是,IBM Security AppScan 不僅可以對 Web 應用進行自動化的掃描、指出安全漏洞的修復意見,還可以將診斷結果,使用不同的行業標準、法規,形成針對性的報告,讓相關人員對應用安全狀況和法規遵從等有了全面的認識。
總之,借助第三方專業的安全服務廠商是一條捷徑,畢竟他們的經驗和專業可以給企業帶來的有力的幫助,但需要謹慎選擇。以上這幾點只代表本人對應用安全的個人想法和體會,希望能給大家起到一點借鑒的作用。
京公網安備 11010502049343號