應(yīng)用安全越來(lái)越重要 —— 互聯(lián)網(wǎng)上看到的大多數(shù)安全事件基本都和應(yīng)用安全，尤其是 WEB 應(yīng)用安全有關(guān)(隨便翻翻 wooyun 之類(lèi)的就知道了)。最近幾年的工作基本都和應(yīng)用安全有關(guān)系，借著這個(gè)機(jī)會(huì)也總結(jié)一下自己的一些觀點(diǎn)。

WEB 應(yīng)用安全的常見(jiàn)思路

這篇文章不包含 DDoS 和業(yè)務(wù)相關(guān)的問(wèn)題 —— DDoS 主要是網(wǎng)絡(luò)層解決的問(wèn)題，我沒(méi)有把放到 WEB 應(yīng)用安全這個(gè)領(lǐng)域討論;業(yè)務(wù)相關(guān)的安全，特別是業(yè)務(wù)特性或者業(yè)務(wù)規(guī)則帶來(lái)的安全問(wèn)題也不在這個(gè)討論范圍之內(nèi)。

下面只是大概的分類(lèi)，并不嚴(yán)謹(jǐn)。

通過(guò)工具來(lái)增強(qiáng) WEB 應(yīng)用的安全

工具往往對(duì)應(yīng)用開(kāi)發(fā)過(guò)程影響非常小，只需要在部署的時(shí)候做些配置通常即可起到防護(hù)作用。工具主要以防火墻、WAF 和各類(lèi)掃描產(chǎn)品為主。這些產(chǎn)品通常基于特征，很難做到深入理解被防護(hù)的 WEB 應(yīng)用，這類(lèi)產(chǎn)品通常會(huì)遇到很多挑戰(zhàn)。

由于被保護(hù)的 WEB 應(yīng)用對(duì)這些傳統(tǒng)工具而言屬于“黑盒”，要做到有效防護(hù)的代價(jià)很高。個(gè)人認(rèn)為目前傳統(tǒng)的產(chǎn)品更適合做大范圍、簡(jiǎn)單、一致的控制，作為基礎(chǔ)設(shè)施提供無(wú)差別的防護(hù);也比較適合做應(yīng)急措施，用來(lái)縮短 Heartbleed、Struts2 遠(yuǎn)程代碼執(zhí)行 這類(lèi)漏洞的響應(yīng)時(shí)間，為徹底修復(fù)贏得足夠的時(shí)間窗口。

誤報(bào)率和漏報(bào)率：這個(gè)大家都懂的，從防病毒軟件到 IDS、IPS 到掃描器到 WAF，只要是基于特征庫(kù)，基本都走在這個(gè)“平衡木”上，很難做到既誤報(bào)低又漏報(bào)少。

0day：WEB 應(yīng)用的 0day 太容易發(fā)現(xiàn)，WEB 應(yīng)用數(shù)量又是海量，真正充分考慮到安全的 WEB 應(yīng)用更是鳳毛麟角。因此，無(wú)法做到發(fā)現(xiàn) 0day 甚至是快速響應(yīng) 0day，會(huì)非常難受，而簡(jiǎn)單基于規(guī)則很難做到發(fā)現(xiàn)“未知”。

普適和定制：應(yīng)用的數(shù)量遠(yuǎn)多于操作系統(tǒng)、數(shù)據(jù)庫(kù)這些通用組件，應(yīng)用層的安全檢查或者防護(hù)工具無(wú)法做到覆蓋所有的應(yīng)用(例如：wordpress 和企業(yè) ERP 就是完全不同的應(yīng)用)。

難以根除的漏洞：只要不修改代碼、不打補(bǔ)丁，這個(gè)應(yīng)用就始終存在安全漏洞。一旦出現(xiàn)盲點(diǎn)，導(dǎo)致攻擊者能夠直接訪問(wèn)到被保護(hù)的 WEB 應(yīng)用，安全防護(hù)措施都失去意義(現(xiàn)在的業(yè)務(wù)系統(tǒng)都是分布式系統(tǒng)，非常容易出現(xiàn)盲點(diǎn);尤其是各種 CloudWAF，被繞過(guò)的可能性更大)。

通過(guò)開(kāi)發(fā)流程控制增強(qiáng) WEB 應(yīng)用的安全

SDLC 是 Secure Software Development Life Cycle 的簡(jiǎn)寫(xiě)，有時(shí)候也被稱(chēng)作 SDL 或 SSDLC 。SDLC 的特點(diǎn)是在軟件開(kāi)發(fā)的生命周期中都“嵌入”了安全的“基因”，對(duì)軟件產(chǎn)品的安全性有本質(zhì)上的提高。業(yè)界最成功的案例就是 Microsoft 通過(guò) 10 多年持續(xù)的實(shí)施 SDL 讓其 Windows 產(chǎn)品的安全性有了極大地提高。

SDLC 需要安全完全嵌入到軟件開(kāi)發(fā)的全部活動(dòng)中，非常依賴(lài)于人員和工具(漏洞掃描、代碼審計(jì)、……)，也遇到了一些挑戰(zhàn)。

從某種意義上來(lái)說(shuō)，SDLC 僅僅適用于部分公司，這類(lèi)公司往往有穩(wěn)定的開(kāi)發(fā)組織、流程;業(yè)務(wù)變化沒(méi)有那么快，相對(duì)比較穩(wěn)定;業(yè)務(wù)非常依賴(lài)于 IT 或者軟件開(kāi)發(fā)。擴(kuò)展閱讀：如何在你的組織內(nèi)采用 SDL。

時(shí)間：業(yè)務(wù)特性本身的發(fā)展非?？?，業(yè)務(wù)特性的開(kāi)發(fā)往往是整個(gè)開(kāi)發(fā)團(tuán)隊(duì)產(chǎn)出的核心度量指標(biāo)(特別是互聯(lián)網(wǎng)公司)。新增的安全特性會(huì)延緩產(chǎn)品開(kāi)發(fā)進(jìn)度，因此開(kāi)發(fā)團(tuán)隊(duì)會(huì)傾向于事后修復(fù);而持續(xù)的業(yè)務(wù)壓力又會(huì)讓歷史遺留問(wèn)題修復(fù)很難獲得高優(yōu)先級(jí)。本質(zhì)上是個(gè)“技術(shù)債”的問(wèn)題。

專(zhuān)業(yè)知識(shí)：開(kāi)發(fā)團(tuán)隊(duì)的核心能力并不是安全。即使是 SDLC 中的培訓(xùn)，也是僅以解決常見(jiàn)、通用攻擊方式為目標(biāo)，在面臨新型攻擊或復(fù)雜攻擊時(shí)，需要對(duì)安全領(lǐng)域有全面和深入的了解。很難有開(kāi)發(fā)人員在跟上開(kāi)發(fā)領(lǐng)域技術(shù)發(fā)展的同時(shí)，還能補(bǔ)上安全領(lǐng)域知識(shí)，并且跟上安全領(lǐng)域的發(fā)展。

資源：大型組織所開(kāi)發(fā)使用的應(yīng)用往往非常龐大，在開(kāi)發(fā)流程中構(gòu)建完整的 SDLC 無(wú)論是在組織還是技術(shù)層面會(huì)讓大多數(shù)的組織難以承受。

誤報(bào)：SDLC 中使用了非常多的工具，這些工具通常都會(huì)產(chǎn)生誤報(bào)，這些誤報(bào)非常容易形成開(kāi)發(fā)人員抵制 SDLC 的原因。

流程：SDLC 本質(zhì)上是讓開(kāi)發(fā)人員重視安全，越多開(kāi)發(fā)人員有安全意識(shí)公司開(kāi)發(fā)出來(lái)的產(chǎn)品就越安全。但壞處是，大多數(shù)情況下很難有人能評(píng)估安全是否已經(jīng)足夠了(甚至做過(guò)頭了)。特別是在時(shí)間壓力很大且缺乏專(zhuān)業(yè)知識(shí)的情況下，SDLC 非常容易流于形式。

通過(guò)增強(qiáng)對(duì)應(yīng)用感知和持續(xù)監(jiān)控增強(qiáng) WEB 應(yīng)用安全

核心思路就是在開(kāi)發(fā)過(guò)程中引入安全相關(guān)的 SDK 或 Plugin。通過(guò)這些 Plugin 或 SDK 讓?xiě)?yīng)用具備缺省的安全功能，且讓安全人員持續(xù)的對(duì)應(yīng)用進(jìn)行監(jiān)視、響應(yīng)(可以更深入到應(yīng)用的運(yùn)行時(shí))。

這個(gè)思路中關(guān)鍵的一項(xiàng)技術(shù)目前被 Gartner 定義為 RASP。RASP 是 Runtime Application Self-Protection 的縮寫(xiě)，通過(guò)嵌入 Application 的代碼讓?xiě)?yīng)用程序自身具備一定的威脅感知和防護(hù)能力。通常 RASP 天生就可以與其他安全產(chǎn)品集成。Gartner 總結(jié)了這個(gè)定義，并且在 Hype Cycle for Application Security, 2014 中給把他列入到了 On the Rise 階段(屬于被關(guān)注的新技術(shù)，但并沒(méi)有大范圍地被驗(yàn)證和接受)。而 Gartner 早在 2012 年就在 Runtime Application Self-Protection: A Must-Have, Emerging Security Technology 介紹過(guò)，并預(yù)計(jì) 2017 年 25% 的應(yīng)用會(huì)具備這個(gè)這個(gè)能力。目前已經(jīng)有多家廠商推出了產(chǎn)品，開(kāi)源社區(qū)也有相應(yīng)的實(shí)現(xiàn)。

HP: HP Application Defender

Prevoty: Prevoty Runtime Application Security

waratek: Application Security for Java

OWASP: AppSensor 是一個(gè)開(kāi)源方案。

Shandowd: Shadowd 是一個(gè)開(kāi)源方案。

#p#

RASP 相關(guān)技術(shù)

目前 RASP 還處于一個(gè)發(fā)展的階段，尚未像防火墻等常見(jiàn)的安全產(chǎn)品一樣有非常明確的功能邊界(scope)，我個(gè)人認(rèn)為這樣的技術(shù)甚至非常有可能會(huì)和 WAF 形成一定的融合。因此這里介紹主要是記錄自己的理解為主，考慮到 AppSensor 和 Shadowd 的思路并不一樣，分開(kāi)記錄。

AppSensor

目前 AppSensor 發(fā)展到了第二版，OWASP 這個(gè)項(xiàng)目目標(biāo)一方面是給出完整的指南，另一方面也希望能提供一個(gè)完整的實(shí)現(xiàn)。目前 AppSensor 的 2.0 版以 Application-Specific Real Time Attack Detection & Response 核心。下面是 AppSensor 的一些核心文檔可以看看。

OWASP AppSensor Getting Started

OWASP AppSensor Guide v2.0.1 EN

OWASP AppSensor Reference Implementation

AppSensor DetectionPoints 梳理了 AppSensor 集成到應(yīng)用后提供實(shí)現(xiàn)的監(jiān)測(cè)點(diǎn)，安全人員可以利用這些監(jiān)測(cè)點(diǎn)達(dá)到實(shí)時(shí)監(jiān)測(cè)攻擊行為。

AppSensor ResponseActions 梳理了 AppSensor 集成到應(yīng)用后提供實(shí)現(xiàn)的監(jiān)測(cè)點(diǎn)，安全人員可以利用這些監(jiān)測(cè)點(diǎn)達(dá)到實(shí)時(shí)響應(yīng)攻擊行為。

構(gòu)成部分

AppSensor 一開(kāi)始遵從的設(shè)計(jì)理念就包括：語(yǔ)言無(wú)關(guān)、插件式、為“As A Service” 設(shè)計(jì)。因此，包括 Analysis Engine 在內(nèi)的各個(gè)部分都可以被替換。

AppSensor Core：必選組件。這個(gè)是 AppSensor 的核心，對(duì)外提供了 AppSensor 的各種接口。

Analysis Engine：必選組件。這是用來(lái)判斷是否為攻擊行為，如何對(duì)此行為進(jìn)行響應(yīng)的核心組件，目前還僅僅是個(gè)示例的實(shí)現(xiàn)。

Storage：用來(lái)存儲(chǔ)數(shù)據(jù)的組件。

Configuration：用來(lái)對(duì)客戶(hù)端和服務(wù)端配置的組件。

Access Controller：僅使用 SOAP、REST 的時(shí)候?yàn)楸仨殹Ｖ饕糜趯?duì)接口進(jìn)行訪問(wèn)控制。

Reporting：可選組件。這是用于對(duì) AppSensor 進(jìn)行管理很重要的組件，如果需要利用其他的系統(tǒng)獲取 AppSensor 的數(shù)據(jù)，就需要使用 Reporting 組件。目前支持 Simple Logging、WebSockets、REST API 的方式對(duì)外提供數(shù)據(jù)輸出。

部署方式

目前支持四種部署方式：

REST Web Service

SOAP Web Service

Thrift

Local (Embedded Java)

Shadow Daemon

Shadow Daemon 還是個(gè)非常早期的項(xiàng)目，目前給自己的定位還是 WAF ，通過(guò)嵌入到 WEB 應(yīng)用中的代碼來(lái)收集信息，通過(guò)這些信息來(lái)判斷某次訪問(wèn)是否為惡意行為并作出判斷。

構(gòu)成部分

Shadow Daemon 目前由三部分構(gòu)成。

Shadow Daemon Connector：和語(yǔ)言有關(guān)，主要是利用語(yǔ)言特性嵌入到 WEB 應(yīng)用中收集數(shù)據(jù)，放到 Shadowd 中進(jìn)行處理。

shadowd：收集 Shadow Daemon Connector 的數(shù)據(jù)，根據(jù)配置和規(guī)則進(jìn)行響應(yīng)。

shadow_ui: Shadow Daemon 的用戶(hù)界面。