Gartner: Web应用防火墙能够支持应用安全开发
华盛顿国家海港——企业的信息安全团队一直努力捍卫着软件开发的安全,但是由于诸多原因一直在“打败仗”。这就是为什么Gartner一位分析师认为现在该是时候将战略的重点转移到使用Web应用防火墙来增强应用,把它作为更为广泛的应用安全架构的一部分。
在Gartner安全与风险管理峰会上,演讲人Ramon Krikken直截了当地表示当前企业的应用安全状态不妙。他是Gartner公司的研究副总裁,该公司位于康涅狄格州斯坦福市。
Krikken援引了来自WhiteHat Security有限公司的统计数据,该数据表明在去年一年几乎三分之一的Web应用容易受到SQL注入攻击,并且超过三分之二的Web应用有跨站点脚本缺陷。同样WhiteHat Security估计银行业将会需要400个工作日来为它们应用中存在的90%的缺陷打补丁,Krikken引用该数据是因为银行业在为应用安装补丁方面可能还是做的最好的。
“除了这个调查以外没有太多的研究结果,但是从众多传闻的证据、以及我同客户和同事的讨论来看,事实上企业的安全团队和开发团队之间没有建立良好的协作关系”,Krikken说到。“搞安全的家伙们写完报告,然后对开发人员说,’这里,看看这个’。这么做似乎不太可能有益于把事情做好”。
Krikken表示对于安全团队来说令人沮丧的现实是开发人员们一直以来从未有动力去解决应用开发安全这个问题,除非是发生安全事故后、或是满足合规要求才会被迫这么做。
“如果你观察人们的考察方式:他们会根据自身是如何被考察的来做任何他们被要求做的事情,不多也不少”,Krikken说到。“如果我是按照软件完工的时间来考察,并且没有人真正地从安全角度来衡量我的工作;那么我会在要求的时间点交付软件,但是它有漏洞;事实就是这样”。
最近,企业移动应用开发的迅猛增长只是进一步强化了人们的这种心态,Krikken补充到。因为大多数公司的成功不是由移动应用可能有多么安全来衡量的,而是根据它可以多快开发出新版本的应用来在线上的应用商店里销售。
应用安全的挑战已经发展成通过开发来解决也是如此的艰难。相反他鼓励企业考虑一个备选策略,该策略较少地依赖开发人员并且更多地将防御技术——像Web应用防火墙(简称WAF)、数据库审计和保护(简称DAP)产品以及XML网关——集成到企业的应用架构中。他表示像WAF这样外件化的组件应该配合代码框架及平台特色使用,以便填补安全功能的空白。
Krikken表示简单地从纯经济的立场来看,对于许多公司来说不断地实施补丁也是一种成本过高的解决方案,特别是对于关键业务的系统上。现在是时候问问用像WAF这样的设备是否比永无止尽的开发、测试和实施软件补丁更快、更便宜、而且同样有效。
WAF是一种设备、或是服务器软件附件,能够监控和拦截前往和来自应用的流量。它们在许多企业中已经变得十分常见,特别是那些必须遵从支付卡行业数据安全标准(简称PCI DSS)的公司。这些公司要么需要使用WAF,要么需要频繁地审查应用的代码。
Krikken说到:“通常我是最后一个给出建议的人——如果你遇到某个问题——使用技术来解决它、或者是在它前面放置一些东西进行过滤,因为从开始就搭建安全的应用是不错的主意,但是你无法对所有的应用都这么做”。
Krikken强调对于信息安全团队来说,从内部推动安全的软件开发仍然十分重要,并且要鼓励开发团队尽可能频繁地更新不安全的应用代码。然而,这项极具挑战的、要赢得开发人员“民心”的任务必须通过围绕应用使用额外的安全技术来辅助完成。
“越来越多的客户开始问我,是否在应用前面放置Web应用防火墙来修补漏洞比起修补代码更加糟糕?”Krikken表示,对于企业来说需要更多的时间和工作来理解在他们的架构中增加新的应用安全技术的重要性。但是对应用进行防御而不是打补丁的概念尽管有些超前,好像更容易被人们理解和接受。他表示一些企业质疑如此严重地依赖于一个WAF设备、或是类似的安全产品是否明智。PCI DSS认证安全评估员(QSA)是否会容忍这种情况还不知道。
Excelon公司的峰会出席人Louis Robinson表示Krikken的方法是对的,特别是对于企业来说要尽量权衡在哪里设计应用的安全功能,是在应用自身内部还是与它并行设计。“在与开发人员一起工作时,你不能把所有事情都依赖于代码,特别是因为性能。”正如任何大的IT策略变化一样,PCI DSS也要考虑。但是对于许多企业来说这不一定是受阻的原因,因为对于整体企业信息安全,许多人质疑PCI DSS的效果。
尽管Krikken试图坚定地强调需要向开发人员进行安全“布道”,他恳请安全人员要理解开发人员:即使是那些最有好意的人,永远也不会是安全专家。Krikken表示:“在内部构件安全这种话你已经听过很多次了,这也是我一直努力的。但这是一种错误的表达。开发人员不这么做通常是因为他们认为那意味着他们必须在应用内搭建所有需要的安全功能。我不想他们那样做;我想让他们关注他们擅长的东西。”