Aberdeen 曾提出一份报告,针对机构应该如何优先管理积极风险的问题,提出了考虑将 Runtime Application Self-Protection (RASP) 作为企业应用程序安全的主流选择的建议。
企业应用程序安全新方案
1.企业的应用程序组合数量庞大、复杂且笨重,对业务影响极大
不管从哪个方面来看,应用程序组合对企业实现战略业务目标都至关重要。
然而,典型的企业应用程序组合又总是数量庞大、复杂而且笨重。企业应用程序的数量与复杂程度包括以下几方面:
- 传统的企业支持应用程序的数量从几十到几百,更不要提用户安装在智能手机、平板电脑和笔记本电脑的上成百上千个移动应用程序了——有些受支持,但是大部分不受支持。
- 当下,企业应用程序类别更有自己额外的复杂分级,其中有些应用程序可能由内部开发团队、外包开发团队、代表企业的系统集成人员,或者是这些开发团队选用的开源社区进行开发并维护的——而且更有可能的是由以上几个团队共同完成。
- 至于应用程序交付平台,各个组织机构都迫切希望利用虚拟化和云计算灵活性和低成本带来的便利——不过他们在可见性和可控性方面依然十分谨慎,尤其是涉及核心商业的那些应用程序
这里最重要的启发是,按照定义来说,企业的应用程序档案对组织实现战略商业目标至关重要——然而随着时间推移,这个档案必然会变得越来越庞大,越来越复杂。
2. 这就让犯罪分子有了可乘之机:为什么你的企业应用程序会遭到攻击?
- 攻击者越来越致力于攻击核心、战略型目标,从而使他们的付出得到的回报最大化。
- 服务器最容易受到攻击,大概是因为攻击者知道那里储存着数据。
这个观点在 Verizon 发布的《 2015 年数据泄露调查报告》中得到了验证。经分析,过去十几年来超过 90% 的数据泄露事件所用的攻击方法只有九种——而且在这期间导致数据泄露最多的攻击方法就是攻击网站应用程序。
表1:已确认的数据泄露事件,2006-2014年
信息来源:《 Verizon 2015 DBIR 》节选;Aberdeen 集团,2015年6月。
在表 1 所示的同一个时间段内(2006-2014年),一共有 60879 家企业加入了国家漏洞数据库,因此安全意识并不是问题所在。真正的挑战在于搞清楚应该做什么,说服其他人这么做是值得做的,真正去做——并且在飞速变化的环境中坚持不断去做!
目前的 20 个关键安全控制(5.1版)还带来了8个更高级别的要求,Aberdeen 已经将其修订成适用于应用程序安全问题的内容:
- 了解在你的网络环境中有哪些应用程序
- 确保你的应用程序得到安全配置
- 确保你的应用程序安装补丁,并及时更新
- 备份并保护你的重要数据
- 保护你的网络
- 管理你的用户、用户账号以及他们对企业应用程序的访问
- 注意周围环境发生的变化
- 时刻准备着对出现的问题进行响应
3. 确保企业应用程序安全的三个策略以及一个新的备选方案
这些探讨中不可避免地遇到的问题可以最终归结为安全、商业目标、整体成本以及某种程度上的管理哲学等问题的集合。
信息来源:Aberdeen 集团,2015年6月。
4. 一个新的备选方案:Runtime Application Self-Protection (RASP)
一种新的确保应用程序安全的方法已经出现,它被称为 Runtime Application Self-Protection (RASP)。
RASP 的概念是把安全保护代码内嵌(或者有时候被称为安装)到某个应用程序的运行环境,实时提供该应用程序详细可见的收到的请求。关键点是,这种可见信息来自应用程序本身,而不是来自网络的变化。
另外,RASP 技术是被设计用来分析应用程序本身的流量和上下文,以区别于正常的应用程序行为和危险行为。
在这些性能的基础上,RASP 提供的正是 Aberdeen 在《Putting Threat Intelligence in Perspective 》(2014年12月)中探讨的威胁情报
表3:威胁情报的四个特点及其在 RASP 中的体现
如果你所在的组织机构还未采用 RASP 来维护应用程序安全,以下分析强烈建议你们主动考虑采用这种新的备选方案 RASP。首先,需要评价的逻辑维度包括以下几点:
支持贵机构应用程序组合所用的编程语言
解决方案实时分析的准确性
解决方案在应用程序中的表现
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客
