【51CTO現(xiàn)場報道】2016年7月25日，第十一屆(ISC)²亞太信息安全峰會在泰國曼谷召開。大會第一天的熱點主題之一可以總結(jié)為：

“安全從業(yè)者們聚眾討論Web開發(fā)者”。

Verizon的2016 DBIR安全報告指出，在2015年造成數(shù)據(jù)泄露的2260次安全事件中，由Web應用攻擊造成的比例顯著上升：

尤其是在金融領(lǐng)域確認造成數(shù)據(jù)泄露的795件安全事故當中，有82%都是由于Web應用所致（這一比例在2014年為31%）。雖然該報告將該變化的主要原因歸結(jié)于Dridex僵尸網(wǎng)絡的陷落，然而報告也指出Web應用已經(jīng)成為攻擊者們的主要目標之一（尤其集中在金融和零售領(lǐng)域）。

Web應用為何會越來越多的被攻擊者們盯上？

云安全聯(lián)盟（CSA）亞太區(qū)市場戰(zhàn)略總監(jiān)Anthony Lim認為該趨勢與云計算的普及密切相關(guān)。由于云計算的普及，各種數(shù)據(jù)都進入了公網(wǎng)，從而無法對其進行有效的控制。越來越多的數(shù)據(jù)——尤其是個人隱私以及涉及金錢交易的數(shù)據(jù)——通過HTTP傳輸，因此越來越多的重要數(shù)據(jù)有可能通過HTTP泄露。

大部分攻擊者的策略是廣撒網(wǎng)式的嘗試。在最新的SDN上他們會嘗試找漏洞（比如針對Controller的攻擊，即使沒有成功入侵，也可能會導致Controller掛掉而帶來嚴重的影響），在老掉牙的操作系統(tǒng)上（比如Windows XP、老版本的Android等）他們也會嘗試找漏洞。相比操作系統(tǒng)層面，Web應用更加容易被暴露在攻擊者面前，因為它無法受到防火墻的保護（Anthony Lim表示現(xiàn)在市面上的“應用防火墻”跟傳統(tǒng)意義上的防火墻并不能算是同一個概念）。

大部分Web應用都是脆弱的

在Anthony Lim看來，大部分企業(yè)/組織并沒有建立起足夠堅固的軟件安全策略。首先，今天的軟件越來越龐大，動輒上千行代碼，要檢查其中的漏洞原本就越來越困難。其次，大部分開發(fā)者并沒有接受過安全方面的訓練，很多在線上運行的網(wǎng)站甚至連debug功能都沒關(guān)掉，成了很多攻擊者們獲取系統(tǒng)信息的渠道。最后，隨著“唯快不破”的理念趨于流行，開發(fā)者更加沒時間檢查自己的代碼了。

“看看從2004年到2013年的OWASP Top 10，很多都是那時候就有的錯誤，今天的開發(fā)者還在不停的踩坑。”Anthony Lim舉例說，“比如2004年的‘錯誤處理方法不規(guī)范’，在2007年還在重復；‘注入漏洞’，九年來一直名列前茅；還有未驗證的輸入、未驗證的轉(zhuǎn)發(fā)等等，這些都是反復出現(xiàn)的。”

Web應用的“持續(xù)安全防護”

Anthony Lim認為“Web應用必須能夠自己保護自己”，防火墻的思路是靠不住的，必須從寫代碼的開發(fā)者入手?，F(xiàn)在業(yè)內(nèi)人士已經(jīng)做了很多努力，比如證書方面有CSA STAR，規(guī)范方面有專門針對云計算應用安全的ISO 27017，教育培訓方面有CSA和(ISC)²聯(lián)合推出的CSSLP，還有各種安全規(guī)范指南和白皮書等等（如Security in the Skies白皮書)。不過他也坦然說，這些安全規(guī)范指南之類的基本上不會有人自覺遵守，需要有更加強制性的手段才能實現(xiàn)好的效果。

Qualys產(chǎn)品VP Jason Kent則在主題演講上提出了“用保護服務器的思路保護Web應用”的觀點，他認為我們現(xiàn)在在基礎(chǔ)架構(gòu)的持續(xù)防護方面要做的相對成熟，因此可以從中借鑒。優(yōu)秀的基礎(chǔ)架構(gòu)防護基本上可以總結(jié)為如下四點：

1. 對所有的服務器建立完整的檔案目錄（inventory），定期維護。
2. 持續(xù)的掃描所有的服務器。持續(xù)掃描有三個目標：針對每天新出現(xiàn)的已知漏洞進行比對；檢查今天新開通的服務是否成為了攻擊點；檢查是否有用于測試的臨時端口或服務忘記關(guān)閉。
3. 明確的補丁策略。誰負責維護系統(tǒng)？誰負責維護應用堆棧？補丁的更新流程是怎樣的？如何做打補丁的歷史記錄？這些策略都需要明確。
4. 定期檢查補丁情況。將及時應用的補丁和未能及時應用的補丁記錄在案。

Web應用運行在服務器OS層面之上，在Web應用和OS層面之間還有一層Web服務器，而Web應用和Web服務器都可能成為攻擊者的目標。一套Web應用從開發(fā)到上線會經(jīng)歷四個環(huán)境：開發(fā)環(huán)境（Development）、測試環(huán)境（Testing）、預備環(huán)境（Staging）和生產(chǎn)環(huán)境（Production）。攻擊者的目標是生產(chǎn)環(huán)境，而保護工作必須將四個環(huán)境都涵蓋在內(nèi)。如果能夠在開發(fā)環(huán)境移除潛在的問題，這是最有效率的，總之是越早越好。根據(jù)“IBM | Ponemon Cost of Data Breach 2016”報告提供的數(shù)據(jù)，在生產(chǎn)環(huán)境發(fā)現(xiàn)問題所帶來的損失平均來說是在測試環(huán)境的14倍。

操作系統(tǒng)級別的漏洞大約需要30/60天完成補丁的應用和應用后的測試。應用層面的漏洞則需要90/120天來完成從開發(fā)環(huán)境到生產(chǎn)環(huán)境的周期。要想及時發(fā)現(xiàn)漏洞，有兩個關(guān)鍵的事情要做好，那就是資源檔案目錄和持續(xù)測試。

1. 應用的檔案目錄：你的系統(tǒng)中一共有多少個應用？應用由誰開發(fā)？開發(fā)環(huán)境、測試環(huán)境、預備環(huán)境和生產(chǎn)環(huán)境各自在什么位置？資產(chǎn)檔案保存在哪里？應用的所有者是誰？這不僅包括你自己開發(fā)的應用，還應該把你租用的外部應用考慮在內(nèi)，比如以SaaS方式提供的客戶管理、人力管理或者票據(jù)報銷管理等服務。
2. 持續(xù)的掃描測試，捉漏洞。目標是100%全面覆蓋式的掃描。當然，這意味著必須實現(xiàn)自動化掃描。
3. 在正確的位置進行修復。如上所述，在生產(chǎn)環(huán)境的Web應用或Web服務器中發(fā)現(xiàn)的代碼漏洞，比如XSS，要從開發(fā)環(huán)境開始修復。如果是在Web服務器中出現(xiàn)XSS，意味著開發(fā)工作需要暫停，直到Web服務器完成補丁修復。原來的Web應用代碼在升級后的Web服務器上可能無法正常工作，需要對代碼進行相應的調(diào)整。
4. 定期檢查補丁情況。將及時應用的補丁和未能及時應用的補丁記錄在案。

賽門鐵克亞太和日本區(qū)CTO Michael Counsel也強調(diào)了持續(xù)安全防護的重要性，他認為我們需要用“流程即服務”的方式來實現(xiàn)這一目標，而不是通過把軟件藏在家里的on-premise方式來保護，因為on-premise越來越無法滿足今天業(yè)務的需要了。

大會第一天其他關(guān)注點

安全人才現(xiàn)狀：(ISC)² CEO David Shearer表示安全人才有趨于短缺的趨勢，需要吸引更多年輕人加入。女性從業(yè)者在安全領(lǐng)域的比例有所上升，尤其是在政府相關(guān)業(yè)務中更加明顯。

贊助商展示：本次各贊助商展示的demo，大部分都是基于Web界面提供操作入口的產(chǎn)品。On-premise部署仍然是主流，然而多少都有以在線方式提供服務的嘗試（區(qū)別只在于是打算自己提供服務還是找合作的第三方提供服務）。方向主要涉及設(shè)備管理（IBM MaaS360），Web掃描（HP WebInspect、Qualys），APT防護（FireEye），源代碼安全檢測（HP Fortify），SSH密鑰管理以及加密會話審計（SSH Communications Security）等。