過去的幾十年，企業(yè)以部署網(wǎng)絡(luò)安全、身份訪問管理、終端保護(hù)為主，如今，應(yīng)用程序及其處理的數(shù)據(jù)成為企業(yè)的最寶貴資產(chǎn)。對于保護(hù)應(yīng)用程序，網(wǎng)絡(luò)級的安全有不足之處，其中網(wǎng)絡(luò)過濾器對應(yīng)用程序的行為、數(shù)據(jù)流、組成等都知之甚少。

而且，基于網(wǎng)絡(luò)的保護(hù)要求僅適應(yīng)基于外圍的技術(shù)，但近幾年來所謂的“外圍”已經(jīng)消亡。公司防火墻也提供了保護(hù)，但在員工們使用移動設(shè)備時(shí)，就會發(fā)生動態(tài)改變。外圍不復(fù)存在，所以我們?nèi)绾纹谕阑饓ΡＷo(hù)員工呢?防火墻如何保護(hù)移動設(shè)備上的應(yīng)用呢?因此，企業(yè)既要利用網(wǎng)絡(luò)級的保護(hù)，更要重視利用應(yīng)用級的保護(hù)。

企業(yè)需要雙重保護(hù)

網(wǎng)絡(luò)和應(yīng)用級的安全都非常重要，因?yàn)槠渲攸c(diǎn)不同。網(wǎng)絡(luò)級的防御是根據(jù)源地址、目的地址、源端口以及目標(biāo)端口來做出安全決策的。雖然這種安全機(jī)制運(yùn)行很快，但它并不檢查數(shù)據(jù)包的應(yīng)用層，因而就有可能遺漏針對應(yīng)用層的攻擊。

應(yīng)用層的防御工作要跨越OSI參考模型的全部七層。一般來說，應(yīng)用層的防御在編制時(shí)是針對具體應(yīng)用的，并且要掌控大量的應(yīng)用信息。雖然應(yīng)用層防御一般相對較慢，但它可以有效地過濾哪些命令與相關(guān)應(yīng)用結(jié)合使用，并執(zhí)行有效的應(yīng)用分析。所以，如果一個(gè)應(yīng)用程序表現(xiàn)出異常行為，安全管理者就有可能在第一時(shí)間防止其造成破壞。由于其速度和處理海量通信的能力，我們建議將網(wǎng)絡(luò)防御放在企業(yè)的網(wǎng)關(guān)，然后在需要保護(hù)的服務(wù)之前部署應(yīng)用層防御。

任何企業(yè)都有可能面臨應(yīng)用層和網(wǎng)絡(luò)層的攻擊。如今，企業(yè)越來越能夠理解針對應(yīng)用程序的威脅與基于網(wǎng)絡(luò)的威脅一樣可帶來嚴(yán)重威脅，甚至其危害更大。而且，攻擊者正在使用一種新型攻擊：可在應(yīng)用層和網(wǎng)絡(luò)層之間切換的多階攻擊。

攻擊者通過訪問第三方承包商的訪問入口，使用合法的憑據(jù)訪問企業(yè)網(wǎng)絡(luò)。企業(yè)使用應(yīng)用程序控制檢測可疑的登錄，可以檢測或防止此行為。由此，攻擊會通過網(wǎng)絡(luò)轉(zhuǎn)而訪問其它系統(tǒng)。在這里，入侵防御系統(tǒng)(IPS)或基于網(wǎng)絡(luò)的威脅檢測工具就有可以檢測和阻止攻擊。雖然有些企業(yè)并不知道自己如何成了靶子，但通過應(yīng)用程序和網(wǎng)絡(luò)的安全控制使防御者挫敗攻擊者。

攻擊方法

因?yàn)榫W(wǎng)絡(luò)層防御并不了解應(yīng)用層，所以它無法防護(hù)常見的應(yīng)用層攻擊，如緩沖區(qū)溢出、SQL注入、跨站腳本攻擊等。網(wǎng)絡(luò)層防御擅長的是入口過濾、阻止IT禁止的IP地址、出口過濾、防止通信離開網(wǎng)絡(luò)，等等。由于應(yīng)用層產(chǎn)品要執(zhí)行更大數(shù)量級的負(fù)載檢查，所以將其用作網(wǎng)關(guān)設(shè)備并且檢查通過網(wǎng)關(guān)的每個(gè)數(shù)據(jù)包是很不現(xiàn)實(shí)的。

從網(wǎng)絡(luò)方面看，防火墻仍是必須的，而且能夠檢查應(yīng)用程序通信的下一代防火墻是非常關(guān)鍵的。從應(yīng)用程序方面看，在外圍和在一些高風(fēng)險(xiǎn)的應(yīng)用服務(wù)器的前面部署WEB安全網(wǎng)關(guān)和應(yīng)用防火墻都非常重要，特權(quán)賬戶的管理產(chǎn)品可以檢測并限制或終止可疑的登錄或?qū)?yīng)用程序的訪問。在終端和網(wǎng)絡(luò)上的威脅檢測產(chǎn)品會越來越重要，因?yàn)樗瞄L檢測繞過外圍的攻擊。

下一階段

應(yīng)用程序的安全領(lǐng)域最先出現(xiàn)的是應(yīng)用程序安全檢測。其中有三種檢測技術(shù)還是不錯(cuò)的，即靜態(tài)應(yīng)用安全測試(SAST)、動態(tài)應(yīng)用安全測試(DAST)、交互式應(yīng)用安全測試(IAST)。這些測試可以在企業(yè)部署應(yīng)用程序之前就分析其代碼和查找安全漏洞，并模仿黑客的攻擊行為，查找在WEB應(yīng)用程序中有漏洞的控制。

但是，我們還必須強(qiáng)調(diào)應(yīng)用程序的自我保護(hù)技術(shù)。近年出現(xiàn)的就是運(yùn)行時(shí)應(yīng)用程序的自我保護(hù)(RASP)。在應(yīng)用程序運(yùn)行時(shí)，這種技術(shù)實(shí)際上可以檢測并識別攻擊，并在攻擊者利用應(yīng)用程序的漏洞之前就加以阻止。這種有重要價(jià)值的技術(shù)勢必對技術(shù)和市場有所改變。