2016年初,正当人们在憧憬新一年的美好愿景之时,中国股市的两次“熔断” 和一场席卷半个中国的寒潮给许多人的心理和身理上带来了双重寒意。悲观的人也许会认为这一年已经蒙上了一层阴影,而乐观的人则相信严寒过后温暖的春天就要到来。同样对于“应用安全”领域而言,层出不穷的应用漏洞、各种形式的应用攻击、不断曝光重大事故,给各种应用的开发者、运营者及最终用户造成了不小的心理阴影。
这几年间,我们多少都会注意到应用本身在发生的一些变化。我们今天所看到的应用与几年前的应用有很大的不同。特别是如今的应用设计与开发,受云计算、移动网络等技术的发展所影响,所以在应用市场,基于云计算、支持智能移动设备的应用的市场份额越来越高。一些技术正在死去,个别仍有机会重生,但市场上最活跃的永远是新生的事物。未来我们会看到更多的传统应用向新的应用迁移。所以我们谈论今天的应用安全,更多的焦点会落在以云计算应用和移动应用为代表的新应用上来。
应用的威胁发生了哪些变化?
首先,越是知名的应用、用户数量越多,越容易成为攻击者的目标。
而应用安全都不总是与应用的规模成正比,一些知名应用的安全性只是比一般应用稍好一点。从近年来国内外的一些著名应用攻击案例看来,攻击者的目标更加直接而明确,动作迅速而隐蔽,而且破害力极大。一次攻击搞垮一家公司并不是只出现在电影情节中,现实中依然可能发生。所以如果你的应用上了一定规模,那么一定要特别重视应用安全,而且不仅仅是重视,还应该有具体的措施。
第二,应用安全应该根据不同的服务模型采取不同的方法。
以基于云计算的应用为例。采用SaaS或PaaS的服务模型的应用在各个方面就有明显的区别。当对其展开安全工作时,有些安全措施和方法在这个模型下有效,而在另一个模型下就无效或效果不佳。所以在方法就应该有所差别,不能一概而论。而各种新型的应用模型的出现,对应用安全是一种挑战。相关的安全技术的创新和突破也不断出现。这些领域的各种创新和进展都值得应用安全的管理者关注。特别是要重点关注一些新兴的已经得到认可和广泛的使用的应用服务模型。目前的热点仍在云应用和移动应用方面。下图是给各位读者推荐的一个混合云模型的参考,如图:
图片来源(IBM安全服务:十项安全实践研讨白皮书)
第三,不仅要关注应用自身安全,还要关注生态系统及应用周边的安全。
今天的应用安全并不是只做好自身就够了。去年曝光的“XcodeGhost"事件就是一个例子,Apple公司的应用开发工具Xcode被植入恶意代码,导致国内外许多公司的应用受到影响。类似这样的风险是许多应用厂商以往从未考虑过的,更没有相应的的安全设计来消除的这类风险。而第三方工具只是应用所处的生态系统中的一个环节,还有许多环节的安全问题会影响到我们的应用。对于这一点,我们要有意识地去关注和获取一些安全情报,这是一项非常必要的工作,它让我们的安全视野从近景拉到远景,从而及时发现感知潜在的安全问题。
尽管安全形势不容乐观,但应用安全的内外部环境的变化趋势似乎渐渐明朗,许多应用安全的思想和方法在过去的基础上继续发展进化。我们相信未来蕴含着许多机遇,而前提是我们需要做好准备,并开动脑筋从各个方面去迎接应用安全的挑战,努力让我们的应用变得更安全。
全生命周期保障应用安全
显然,如果可以在整个软件开发生命周期内,管理漏洞测试并可以自动关联静态、动态和互动式测试结果,才是解决问题的关键。面对这种现状,IBM推出了应用安全测试解决方案IBM Security AppScan,其针对移动和基于 Web 的应用提供先发制人式保护,可保护应用当前不被恶意使用,并补救未来可能的潜在攻击,让安全和开发团队能够在整个应用生命周期中协作、制定策略并扩展测试。
据了解,在开发过程中IBM Security AppScan通过在软件开发过程中及早识别基于 Web 的和移动应用源代码漏洞并在部署之前使之消失,帮助组织节省成本,降低风险。为了提供增强的移动应用扫描功能,并支持对移动 Web、本机应用和混合应用的测试,IBM Security AppScan包含对 JavaScript、HTML5、Java 和 Objective-C 的支持,同时也支持与 IBM Worklight Studio 集成,并可扫描 Worklight 应用。
在集成和发布阶段,可以通过简单的配置,使用IBM Security AppScan对应用进行全面的扫描,企业仅需要指明 Web 应用的入口链接,IBM Security AppScan就会利用网络爬行(Crawling)技术,遍历应用中所有需要测试的链接,并对每个链接发送多种测试参数,诊断其有无漏洞可被利用,最后将结果呈现在用户面前。
值得一提的是,IBM Security AppScan 不仅可以对 Web 应用进行自动化的扫描、指出安全漏洞的修复意见,还可以将诊断结果,使用不同的行业标准、法规,形成针对性的报告,让相关人员对应用安全状况和法规遵从等有了全面的认识。
总之,借助第三方专业的安全服务厂商是一条捷径,毕竟他们的经验和专业可以给企业带来的有力的帮助,但需要谨慎选择。以上这几点只代表本人对应用安全的个人想法和体会,希望能给大家起到一点借鉴的作用。