2010年，在所有與黑客攻擊有關(guān)的活動中，92%的涉及數(shù)據(jù)泄露的事件均是利用了網(wǎng)絡(luò)應(yīng)用層的漏洞。在今年的OWASP中國峰會上，F(xiàn)orrester Research首席分析師王晨曦所發(fā)布的關(guān)于互聯(lián)網(wǎng)安全現(xiàn)狀的數(shù)據(jù)中，出現(xiàn)了這個驚人的數(shù)字。它似乎在告訴我們，Web應(yīng)用安全已經(jīng)不再是信息安全界的"小語種"，它正勢不可擋的成為全球信息安全行業(yè)急需探討的課題。

Web安全事件已無處不在

今天，國內(nèi)因Web應(yīng)用漏洞而引發(fā)的安全事件，正在如雨后春筍般在我們身邊爆發(fā)，更重要的是，這類安全事件的影響力也開始不斷擴(kuò)大。梭子魚網(wǎng)絡(luò)有限公司中國區(qū)總經(jīng)理何平告訴記者，針對web應(yīng)用漏洞的攻擊技術(shù)，今天在互聯(lián)網(wǎng)上幾乎唾手可得。校園網(wǎng)上的BBS、黑客網(wǎng)站、博客上，到處都可以找到發(fā)動這類攻擊的工具軟件，甚至完全不懂任何網(wǎng)絡(luò)攻擊技術(shù)的人，都可以做到黑客可以做的事，外加上"黑色產(chǎn)業(yè)鏈"對各種網(wǎng)絡(luò)攻擊事件的刻意操縱，F(xiàn)orrester Research所發(fā)布的數(shù)據(jù)已經(jīng)相當(dāng)客觀，前段時間伊朗網(wǎng)站被攻擊的事件，正是黑客組織利用web應(yīng)用漏洞發(fā)起的政治性質(zhì)的攻擊。所以，保證Web應(yīng)用的安全，也是保障國家信息安全的核心任務(wù)。

與這一現(xiàn)實相悖的是，盡管我們的互聯(lián)網(wǎng)生活已經(jīng)陷入了web應(yīng)用漏洞造成的安全陰影中，但當(dāng)前大多用戶卻幾乎對Web應(yīng)用的安全風(fēng)險完全沒有概念。造成這種落差的原因又是什么呢？

何平告訴記者，這主要是因為在互聯(lián)網(wǎng)應(yīng)用快速變化的過程中，信息安全問題也出現(xiàn)了顛覆性的變化。比如瀏覽器的交互性應(yīng)用，讓過去的瀏覽器和現(xiàn)在的瀏覽器在本質(zhì)上出現(xiàn)了巨大的區(qū)別，瀏覽器已經(jīng)變成了眾多應(yīng)用的承載者。另外，各種移動終端也開始成為互聯(lián)網(wǎng)應(yīng)用的"訪客"，數(shù)據(jù)傳輸?shù)逆溌纷兊酶訌?fù)雜了。大多數(shù)人關(guān)注的是互聯(lián)網(wǎng)應(yīng)用如何越來越豐富，如何越來越便捷，而這種快速的變化與以往的安全體系架構(gòu)自然不匹配，而在"黑客"眼中，這種差距正是盜取有價信息的大好機(jī)會。

既然是應(yīng)用系統(tǒng)安全漏洞引發(fā)的問題，在系統(tǒng)研發(fā)階段，這些安全風(fēng)險是否可以被最大化的規(guī)避呢？何平認(rèn)為，應(yīng)用系統(tǒng)的安全漏洞永遠(yuǎn)都無法避免。因為，在應(yīng)用系統(tǒng)的研發(fā)過程中，如果過多的考慮未來的安危，必然會影響系統(tǒng)的交付周期，強(qiáng)調(diào)安全的做法沒有商業(yè)驅(qū)動力，所以應(yīng)用程序的漏洞必然會長期存在。

WAF標(biāo)準(zhǔn)有望盡快落地

當(dāng)前，Web應(yīng)用安全需求的增長，已經(jīng)使WEB應(yīng)用防火墻（Web Application Firewall，簡稱WAF）成為越來越關(guān)鍵的安全產(chǎn)品。何平在參加OWASP峰會時也指出，當(dāng)前企業(yè)快速的發(fā)展正在對應(yīng)用系統(tǒng)提出更高的要求，web應(yīng)用安全市場雖然不會迎來爆發(fā)式增長，但是也已經(jīng)進(jìn)入了一個快速成長期。而且，由于近年來國際市場日趨成熟，WAF市場的國際標(biāo)準(zhǔn)也在逐步形成，并對傳統(tǒng)的美國信息安全協(xié)會和信用卡支付標(biāo)準(zhǔn)PCI DSS所形成的一些標(biāo)準(zhǔn)作出了不少更實用的修正。

同時，他也表示，從國內(nèi)市場當(dāng)前的情況來看，國際標(biāo)準(zhǔn)還并不是用戶所看重的，大多廠商的WAF產(chǎn)品多以用戶需求為標(biāo)準(zhǔn)，所以相對國際市場缺乏對Web應(yīng)用安全產(chǎn)品的價值評估體系，也在某種程度上阻礙了市場認(rèn)知度的提升。但從市場整體的發(fā)展趨勢來看，不管是OWASP這樣的專業(yè)技術(shù)組織，還是行業(yè)用戶都在對具有實用價值的標(biāo)準(zhǔn)的落地起到推動作用。

關(guān)于標(biāo)準(zhǔn)化，在今年的OWASP峰會上，也出現(xiàn)了不少有益的信息。比如大會所提出的WAF所要具備的功能、對某些攻擊的防護(hù)能力標(biāo)準(zhǔn)，以及在易用性和安全部署方面的建議性要求等。以往，OWASP組織進(jìn)行的很多項目都成為了產(chǎn)品市場化時的國際標(biāo)準(zhǔn)，但對致力于web應(yīng)用安全領(lǐng)域的企業(yè)而言，這也僅僅只是一種技術(shù)方向的指引。正如何平所說，"標(biāo)準(zhǔn)化解決不了技術(shù)的問題，技術(shù)的發(fā)展才是帶動web應(yīng)用安全市場發(fā)展的動力。"

【編輯推薦】

1. 梭子魚發(fā)布其下一代防火墻系列產(chǎn)品
2. 如何拯救web應(yīng)用安全威脅？
3. 企業(yè)級反垃圾郵件介紹之梭子魚防火墻
4. 從黑客常用攻擊手段來對WEB應(yīng)用安全防護(hù)進(jìn)行了解