華盛頓國家海港——企業(yè)的信息安全團(tuán)隊一直努力捍衛(wèi)著軟件開發(fā)的安全，但是由于諸多原因一直在“打敗仗”。這就是為什么Gartner一位分析師認(rèn)為現(xiàn)在該是時候?qū)?zhàn)略的重點轉(zhuǎn)移到使用Web應(yīng)用防火墻來增強應(yīng)用，把它作為更為廣泛的應(yīng)用安全架構(gòu)的一部分。

在Gartner安全與風(fēng)險管理峰會上，演講人Ramon Krikken直截了當(dāng)?shù)乇硎井?dāng)前企業(yè)的應(yīng)用安全狀態(tài)不妙。他是Gartner公司的研究副總裁，該公司位于康涅狄格州斯坦福市。

Krikken援引了來自WhiteHat Security有限公司的統(tǒng)計數(shù)據(jù)，該數(shù)據(jù)表明在去年一年幾乎三分之一的Web應(yīng)用容易受到SQL注入攻擊，并且超過三分之二的Web應(yīng)用有跨站點腳本缺陷。同樣WhiteHat Security估計銀行業(yè)將會需要400個工作日來為它們應(yīng)用中存在的90%的缺陷打補丁，Krikken引用該數(shù)據(jù)是因為銀行業(yè)在為應(yīng)用安裝補丁方面可能還是做的最好的。

“除了這個調(diào)查以外沒有太多的研究結(jié)果，但是從眾多傳聞的證據(jù)、以及我同客戶和同事的討論來看，事實上企業(yè)的安全團(tuán)隊和開發(fā)團(tuán)隊之間沒有建立良好的協(xié)作關(guān)系”，Krikken說到。“搞安全的家伙們寫完報告，然后對開發(fā)人員說，’這里，看看這個’。這么做似乎不太可能有益于把事情做好”。

Krikken表示對于安全團(tuán)隊來說令人沮喪的現(xiàn)實是開發(fā)人員們一直以來從未有動力去解決應(yīng)用開發(fā)安全這個問題，除非是發(fā)生安全事故后、或是滿足合規(guī)要求才會被迫這么做。

“如果你觀察人們的考察方式：他們會根據(jù)自身是如何被考察的來做任何他們被要求做的事情，不多也不少”，Krikken說到。“如果我是按照軟件完工的時間來考察，并且沒有人真正地從安全角度來衡量我的工作；那么我會在要求的時間點交付軟件，但是它有漏洞；事實就是這樣”。

最近，企業(yè)移動應(yīng)用開發(fā)的迅猛增長只是進(jìn)一步強化了人們的這種心態(tài)，Krikken補充到。因為大多數(shù)公司的成功不是由移動應(yīng)用可能有多么安全來衡量的，而是根據(jù)它可以多快開發(fā)出新版本的應(yīng)用來在線上的應(yīng)用商店里銷售。

應(yīng)用安全的挑戰(zhàn)已經(jīng)發(fā)展成通過開發(fā)來解決也是如此的艱難。相反他鼓勵企業(yè)考慮一個備選策略，該策略較少地依賴開發(fā)人員并且更多地將防御技術(shù)——像Web應(yīng)用防火墻（簡稱WAF）、數(shù)據(jù)庫審計和保護(hù)（簡稱DAP）產(chǎn)品以及XML網(wǎng)關(guān)——集成到企業(yè)的應(yīng)用架構(gòu)中。他表示像WAF這樣外件化的組件應(yīng)該配合代碼框架及平臺特色使用，以便填補安全功能的空白。

Krikken表示簡單地從純經(jīng)濟(jì)的立場來看，對于許多公司來說不斷地實施補丁也是一種成本過高的解決方案，特別是對于關(guān)鍵業(yè)務(wù)的系統(tǒng)上?，F(xiàn)在是時候問問用像WAF這樣的設(shè)備是否比永無止盡的開發(fā)、測試和實施軟件補丁更快、更便宜、而且同樣有效。

WAF是一種設(shè)備、或是服務(wù)器軟件附件，能夠監(jiān)控和攔截前往和來自應(yīng)用的流量。它們在許多企業(yè)中已經(jīng)變得十分常見，特別是那些必須遵從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（簡稱PCI DSS）的公司。這些公司要么需要使用WAF，要么需要頻繁地審查應(yīng)用的代碼。

Krikken說到：“通常我是最后一個給出建議的人——如果你遇到某個問題——使用技術(shù)來解決它、或者是在它前面放置一些東西進(jìn)行過濾，因為從開始就搭建安全的應(yīng)用是不錯的主意，但是你無法對所有的應(yīng)用都這么做”。

Krikken強調(diào)對于信息安全團(tuán)隊來說，從內(nèi)部推動安全的軟件開發(fā)仍然十分重要，并且要鼓勵開發(fā)團(tuán)隊盡可能頻繁地更新不安全的應(yīng)用代碼。然而，這項極具挑戰(zhàn)的、要贏得開發(fā)人員“民心”的任務(wù)必須通過圍繞應(yīng)用使用額外的安全技術(shù)來輔助完成。

“越來越多的客戶開始問我，是否在應(yīng)用前面放置Web應(yīng)用防火墻來修補漏洞比起修補代碼更加糟糕？”Krikken表示，對于企業(yè)來說需要更多的時間和工作來理解在他們的架構(gòu)中增加新的應(yīng)用安全技術(shù)的重要性。但是對應(yīng)用進(jìn)行防御而不是打補丁的概念盡管有些超前，好像更容易被人們理解和接受。他表示一些企業(yè)質(zhì)疑如此嚴(yán)重地依賴于一個WAF設(shè)備、或是類似的安全產(chǎn)品是否明智。PCI DSS認(rèn)證安全評估員（QSA）是否會容忍這種情況還不知道。

Excelon公司的峰會出席人Louis Robinson表示Krikken的方法是對的，特別是對于企業(yè)來說要盡量權(quán)衡在哪里設(shè)計應(yīng)用的安全功能，是在應(yīng)用自身內(nèi)部還是與它并行設(shè)計。“在與開發(fā)人員一起工作時，你不能把所有事情都依賴于代碼，特別是因為性能。”正如任何大的IT策略變化一樣，PCI DSS也要考慮。但是對于許多企業(yè)來說這不一定是受阻的原因，因為對于整體企業(yè)信息安全，許多人質(zhì)疑PCI DSS的效果。

盡管Krikken試圖堅定地強調(diào)需要向開發(fā)人員進(jìn)行安全“布道”，他懇請安全人員要理解開發(fā)人員：即使是那些最有好意的人，永遠(yuǎn)也不會是安全專家。Krikken表示：“在內(nèi)部構(gòu)件安全這種話你已經(jīng)聽過很多次了，這也是我一直努力的。但這是一種錯誤的表達(dá)。開發(fā)人員不這么做通常是因為他們認(rèn)為那意味著他們必須在應(yīng)用內(nèi)搭建所有需要的安全功能。我不想他們那樣做；我想讓他們關(guān)注他們擅長的東西。”