一些人認(rèn)為，關(guān)于計(jì)算機(jī)的安全已由最初的物理安全，隨后的網(wǎng)絡(luò)安全發(fā)展到現(xiàn)在的應(yīng)用安全。這種說法有一定的道理，我們看到，攻擊者已將攻擊目標(biāo)轉(zhuǎn)向Web應(yīng)用程序，通過Web應(yīng)用程序漏洞，黑客可以滲透到你最敏感的數(shù)據(jù)，甚至滲透到數(shù)據(jù)庫。與此同時(shí)，安全廠商們相應(yīng)地推出了諸如Web應(yīng)用防火墻（WAF）這樣專門保護(hù)Web應(yīng)用程序的產(chǎn)品。這些產(chǎn)品是否有效？企業(yè)還應(yīng)該部署哪些解決方案來保護(hù)Web應(yīng)用程序？近日，本站記者在OWASP中國大會(huì)上，采訪了Trustwave公司的副總裁Marc Shinbrood先生，就Web應(yīng)用程序安全的問題進(jìn)行了探討。

虛擬補(bǔ)丁是創(chuàng)可貼

 Trustwave公司的副總裁Marc Shinbrood先生

[[49830]]什么是虛擬補(bǔ)丁？它是一種可以使IT人員擺脫補(bǔ)丁管理困境的解決方案。虛擬補(bǔ)丁技術(shù)旨在通過控制受影響的應(yīng)用程序的輸入或輸出，來改變或消除漏洞。Marc解釋道，作為虛擬補(bǔ)丁的提供者，我們登錄一個(gè)網(wǎng)站，查看該網(wǎng)站是否有問題和弱點(diǎn)，如果有，我們將該問題或弱點(diǎn)稱為‘事件’，然后研發(fā)團(tuán)隊(duì)（Trustwave的研發(fā)部門是SpiderLabs）的工作就是將一個(gè)命令寫到WAF里，讓別人無法進(jìn)入該漏洞，也就是讓黑客無法利用該漏洞做任何有害的事情。

“但這就像是一個(gè)創(chuàng)可貼，比如你有一個(gè)傷口，你先用創(chuàng)可貼貼上，緊急補(bǔ)救一下，隨后你需要去醫(yī)院，讓醫(yī)生把這個(gè)傷口縫起來。”Marc補(bǔ)充道。

虛擬補(bǔ)丁只應(yīng)用于WAF？別的安全產(chǎn)品里可不可以使用？

Marc表示，Web應(yīng)用程序是實(shí)時(shí)的，可以及時(shí)打補(bǔ)丁。一般情況下，一個(gè)Web應(yīng)用程序的漏洞從發(fā)現(xiàn)到修復(fù)需要6個(gè)月的時(shí)間，而在這段時(shí)間里，黑客是不會(huì)靜觀其變的，所以及時(shí)打上補(bǔ)丁很重要，這也就是虛擬補(bǔ)丁的重要性。它的好處一是，可以在不影響應(yīng)用程序和其相關(guān)庫以及為其提供運(yùn)行環(huán)境的操作系統(tǒng)的情況下，為應(yīng)用程序安裝補(bǔ)丁。二是，如果一個(gè)應(yīng)用程序的早期版本已不再獲得供應(yīng)商支持，則此時(shí)虛擬補(bǔ)丁是支持該早期版本的唯一方法。

虛擬補(bǔ)丁的意義在于它的及時(shí)性和差異性，不是所有東西都需要虛擬補(bǔ)丁的。比如操作系統(tǒng)（OS），基本上操作系統(tǒng)在每個(gè)地方每個(gè)時(shí)間都是相同的，你只需要定期從網(wǎng)站上下載安裝針對(duì)它的統(tǒng)一補(bǔ)丁即可。而Web應(yīng)用程序不同，每一個(gè)Web應(yīng)用都是不同的，比如Peoplesoft，你怎么使用與別人怎么使用是不一樣的，因此需要及時(shí)的有針對(duì)性的修補(bǔ)。

誰是醫(yī)生？

Marc表示，他們在提供創(chuàng)可貼的同時(shí)，也是醫(yī)生。“作為一個(gè)醫(yī)生，我們會(huì)告訴病人我們看到了什么問題，這個(gè)是你的診斷書，怎么處理可以自己決定。你是想做一個(gè)手術(shù)，還是每天早上吃藥？”

“就我們公司而言，我們提供了易于使用的Web應(yīng)用防火墻（WAF）——WebDefend。”

未來防火墻的趨勢是為低端市場提供功能整合（比如UTM），為高端市場提供功能細(xì)分（比如WAF）？NGFW會(huì)同WAF整合嗎？

“安全是保護(hù)你想要保護(hù)的東西。”Marc說道，“企業(yè)有兩層重要的數(shù)據(jù)需要被保護(hù)。一層是網(wǎng)絡(luò)層的，一層是應(yīng)用層的。像UTM，IDS，IPS，下一代防火墻（NGFW）這樣的產(chǎn)品是為網(wǎng)絡(luò)層保護(hù)提供保護(hù)，即保護(hù)第三層。而Web應(yīng)用防火墻是要保護(hù)第七層的。我們提供不同的產(chǎn)品，企業(yè)根據(jù)自身的投資和需求投資不同，購買不同的產(chǎn)品來保護(hù)。”

Marc表示，NGFW和WAF是無法整合的。NGFW沒有足夠的能力來保護(hù)第七層的應(yīng)用。在網(wǎng)絡(luò)層中，有很多流量，包括數(shù)據(jù)流等等，但是只有一小部分是應(yīng)用層的；而應(yīng)用層中的流量都是獨(dú)特的，每個(gè)應(yīng)用流都不同。保護(hù)網(wǎng)絡(luò)層的殺毒軟件是把病毒庫放進(jìn)去，你的電腦知道什么是已經(jīng)發(fā)生的，知道已經(jīng)發(fā)生的就可以進(jìn)行防護(hù)。簡單來說，病毒更新就是把已經(jīng)知道的毒放進(jìn)來，然后再阻止。這是所謂的被動(dòng)安全模式。

而攻擊Web應(yīng)用程序是不同的，你需要進(jìn)行研究，因?yàn)槊恳粋€(gè)Web應(yīng)用都是不同的，你找不到規(guī)律。你想要保護(hù)的是什么將要發(fā)生，而不是什么已經(jīng)發(fā)生?，F(xiàn)在黑客很聰明，想想你的房子，你有很多門，但是黑客可能從取暖設(shè)備中進(jìn)入，因此你不可能100%的阻止他，但是當(dāng)他正在進(jìn)入時(shí)，你可以發(fā)現(xiàn)并抓住他。在攻擊發(fā)生前，阻止攻擊，這叫做主動(dòng)安全模式，通過學(xué)習(xí)引擎（Learning engine）實(shí)現(xiàn)。

移動(dòng)設(shè)備廣泛普及的趨勢下，是否有針對(duì)它們的應(yīng)用保護(hù)措施？

Marc說道，針對(duì)移動(dòng)設(shè)備，WAF還是會(huì)提供一些保護(hù)，但是你還需要?jiǎng)e的保護(hù)，比如你要怎么控制移動(dòng)設(shè)備對(duì)網(wǎng)絡(luò)的接入，這需要另外一種產(chǎn)品——NAC（網(wǎng)絡(luò)訪問控制）。此外，假設(shè)從一臺(tái)筆記本電腦把數(shù)據(jù)下載到另一臺(tái)筆記本電腦，這就需要在傳輸過程中加以保護(hù)，應(yīng)該把數(shù)據(jù)進(jìn)行加密，否則設(shè)備丟失或數(shù)據(jù)被竊取會(huì)帶來很大損失?，F(xiàn)在信息安全越來越難做，設(shè)備無論從數(shù)量還是形式上都發(fā)生了很多變化。

Trustwave公司的副總裁Marc Shinbrood先生

Trustwave的2011年全球安全報(bào)告結(jié)果顯示，超過60%的數(shù)據(jù)泄漏是由于脆弱的Web應(yīng)用程序造成的。針對(duì)這種情況企業(yè)可以做些什么？

“企業(yè)有很多事情需要做。”Marc說道，“我們有一個(gè)被稱作是‘360度應(yīng)用防護(hù)’的解決方案，這里面包括幾個(gè)方面，”：

首先是培訓(xùn)程序員，告訴他們?nèi)绾尉帉懓踩拇a。

第二步是做一個(gè)應(yīng)用層的滲透測試。Marc介紹了Trustwave公司特別的測試方法，不管用戶在全球哪些地方，他們提供了一個(gè)門戶網(wǎng)站，用戶可以實(shí)時(shí)地看到他們在做什么，怎樣做這個(gè)測試。通常，公司的測試取決于做測試的這個(gè)人，每個(gè)人做測試的方式都不一樣，最后用戶看到的只是一份報(bào)告，但不知道他做了些什么。

在代碼審查這方面，我們會(huì)進(jìn)行人工代碼審查，幫助他們發(fā)現(xiàn)代碼里的問題。

測試后，公司要有一個(gè)自動(dòng)的方式，保證那些補(bǔ)丁被自動(dòng)打上去。

“但以上這些都只是一次性的項(xiàng)目，”Marc補(bǔ)充道，“你做一個(gè)培訓(xùn)，進(jìn)行一個(gè)測試，都是一次性的，而公司需要的一個(gè)自動(dòng)的每天都可以為公司提供保護(hù)的產(chǎn)品，所以我們提供WAF。這樣一來就保證了整個(gè)軟件開發(fā)周期的安全。”

很多廠商都在提供WAF，你覺得你們的WAF有什么不同之處？

對(duì)此，Marc回答道，他們的產(chǎn)品有六方面優(yōu)勢：

1.最容易使用（SC雜志進(jìn)行了一個(gè)比較，結(jié)果顯示Trustwave的WebDefend非常易于使用）

2.價(jià)格比較便宜。這指的是你不需要在內(nèi)部培訓(xùn)員工對(duì)你的Web應(yīng)用進(jìn)行保護(hù)，因此降低了在人力和資源上的投入。

3.可在線或離線安裝產(chǎn)品。

4.終端用戶體驗(yàn)。Trustwave不僅看進(jìn)來的請求（如：http//:www.trustwave.com），還要看請求后的反應(yīng)。確定請求和返回是否一樣。假設(shè)你遇到問題（如網(wǎng)頁打不開，站點(diǎn)找不到），你打電話請求幫助，幫助中心的工作人員可能一上來就問你做了什么，而一般你是記不清的。Trustwave產(chǎn)品可以記錄你做過些什么，幫你發(fā)現(xiàn)問題，這就是用戶體驗(yàn)不同，而不是問你一堆問題。

5.360度應(yīng)用保護(hù)。

6.SpiderLabs每天會(huì)提供最新的資料和智能。比如SpiderLabs測試一家公司，發(fā)現(xiàn)了一個(gè)問題，他們就會(huì)先把這個(gè)問題放進(jìn)來，讓別的公司也可以預(yù)防。

很多公司倡導(dǎo)建立社區(qū)分享信息，在這方面，Trustwave公司有一個(gè)ModSecurity，它是一個(gè)開源的Web軟件防火墻項(xiàng)目。如果公司想自己建立WAF，可以下載ModSecurity，然后自己開發(fā)。Marc表示，中國有很多公司的WAF都是基于ModSecurity的，他們同時(shí)可以只收取很少的費(fèi)用來幫助企業(yè)提供一些規(guī)則。

未來的安全趨勢

最后，Marc談到，他認(rèn)為未來趨勢是很多公司不希望內(nèi)部培訓(xùn)很多人來管理安全，而是把安全外包出去，采用安全外包服務(wù)。這也是他們在未來想要提供的安全服務(wù)，希望可以為中國提供這樣的服務(wù)。對(duì)于云計(jì)算的趨勢，Marc表示他們會(huì)與提供云服務(wù)的公司進(jìn)行合作，比如Akamai，因?yàn)楹芏嘧鲈频墓径疾蛔霭踩矫娴臇|西，他們只做最基本的認(rèn)證，如用戶名和密碼，而沒有到Web應(yīng)用這層。