微软为软件开发流程植入安全基因

2009-04-22 03:08那罡
中国计算机报 2009年22期
关键词:应用层网关漏洞

信息泄露、恶意攻击并非都由病毒和木马引起,造成风险的原因还有系统漏洞和第三方应用软件漏洞。

第三方应用不安全

微软在今年4月8日发布了第六期《微软安全研究报告》。该报告显示,随着软件公司改善了操作系统的安全性,目前第三方应用软件已成为恶意软件的主要攻击目标,2008年下半年发现的漏洞中有90%涉及到应用软件。

微软公司大中华区战略安全架构师裔云天说,如今,在具有一定规模的企业的IT环境里往往存在着少则上百个,多则上千个大大小小的业务应用,小到支持几个人的小规模团队的协同应用,大到贯穿于一个企业生产、经营、管理全过程的企业级应用。随着软件公司改善了操作系统的安全性,攻击者已经把目光转向应用层面。降低信息技术给企业带来的各种安全风险,无疑已成为当今所有企业面临的新挑战。

报告中显示,在最近四年里出现的安全漏洞中,全球排名前五大IT厂商,包括微软、IBM、思科、甲骨文和苹果在内,总共的系统漏洞只占了所有漏洞的14%,而其他的占了86%。在2008年出现的所有安全漏洞中,对Windows XP有影响的漏洞占41%左右,而影响Windows Vista的只占了5.5%,也就是说从安全角度来看,Windows Vista的安全性远远超过了Windows XP。换句话说,在即将面世的Windows 7中,安全性会更高。

从近几年发现的漏洞状况来看,基本上90%的第三方应用软件漏洞都可以被黑客用来发起远程攻击。也就是说,如果某个存在漏洞的电脑接入互联网,一个黑客可以从全世界任何一个国家对它发起攻击,或者偷取数据,或者对它进行控制。

裔云天解释说,这是因为第三方软件开发商没有把安全问题考虑进去,更多的是考虑软件的功能性,所以漏洞百出。

在微软安全博客中,微软大中华区安全组成员表示,企业信息安全的涵盖面非常广,涉及到人员、流程和技术等诸多方面的因素。正因为如此,一方面,信息安全越来越受到广泛的关注,并且企业在信息安全方面的投入不断增加,而另一方面,各种给企业造成负面影响的安全事件却层出不穷。单纯的技术手段往往无法帮助企业彻底消除存在的诸多安全问题,只有建立起一整套安全策略和流程,通过合理地资源配置并且充分利用各种技术和非技术手段,企业才有可能更加有效地管理各类安全风险。

改进软件开发流程

从前“寻找安全漏洞”的做法并不能真正保证应用的安全性。裔云天认为,企业有必要改进软件开发流程,做到在应用开发的整个过程中自始至终地关注应用安全。保证和提高应用安全性的最佳时机是在应用的开发阶段。

微软可信赖安全部门通过多年来在安全领域的实践经验,创建了一整套安全开发流程,即信息技术安全开发生命周期流程(Secure Development Lifecycle for Information Technology,缩写为SDL)。该流程包含一系列的最佳实践和工具,多年以来不仅被用于微软内部业务应用的开发过程中,而且也被成功地应用在许多微软客户的开发项目中。

安全开发生命周期有两个目标:一是缩减与安全性有关的设计缺失与程序码缺陷错误,二是降低未完全解决的缺陷错误的严重程度。

记者了解到,SDL流程涵盖了软件开发生命周期的整个过程。目的是通过在软件开发生命周期的每个阶段执行必要的安全控制或任务,保证应用安全最佳实践得以很好地应用。SDL强调在业务应用的开发和部署过程中对应用安全给予充分的关注,通过预防、检测和监控措施相结合的方式,降低应用安全开发和维护的总成本。

SDL流程的第一步首先是对所要开发的应用程序进行安全风险评估,接下来SDL-IT流程要求为应用建立安全威胁模型。在应用程序投产前,微软要求由独立的安全团队对应用程序的安全性进行综合评估。主要内容包括对应用进行代码安全审核(即白盒安全测试)以及对应用程序的部署及环境进行安全审核。

虽然SDL会在一定程度和一定阶段增加应用开发的成本,但是却可以有效地帮助企业提高开发、部署和投产的应用的安全性和质量。SDL以往只是在微软内部使用,用来保证操作系统的安全性。从去年下半年开始到现在,国外已经有十余家企业开始采用SDL对应用软件进行开发和评估。

传统防火墙无法应付Web威胁

■ 本报记者那罡

Gartner统计,目前75%的攻击已经转移到应用层,企业的网站不断遭到攻击,原有的防火墙已经不能满足企业对网络攻击的防御。这是因为应用层面非常广,比如说Web应用、邮件应用、中间件应用等,应用在不断增多,导致现在很多攻击在应用层,用户原有的防火墙或是IPS不能进行全面的防御了。

Web威胁在加剧

当前全球安全漏洞的发现速度在快速上升,Web威胁也在加剧。同样,利用这些漏洞所进行攻击的数量也在上升,这些攻击所采用的技术也更加先进。对于中国的IT管理员来说,他们既要保护好关键数据,又要使网络性能满足要求。因此,发现并且解决这些漏洞正在快速变为一项艰巨的任务。

Fortinet全球总裁谢青认为,安全厂商需要对企业的各种内部应用非常了解,比如对OA、MIS、ERP等应用的支持。因此当初Gartner就曾提出更加综合的应用交付网络的概念,将安全、加速、管理等集成在一起,实现完整的Web保护。

之前有专家介绍说,当前Web应用防火墙从全球范围内已经进入部署的高峰期,准确地说是第二波浪潮已开始。以美国为例,它最早是在美国能源部使用,确保能源安全,之后过渡到一些普通政府部门使用,最后到纽约市的卫生局都开始采购。特别是2008年PCI法案通过,要求提供信用卡网上支付超过一定营业额的企业,都需要配置Web应用防火墙。可以说,国外Web应用防火墙进入了成熟化与普及化时代。

在记者看来,随着基于Web的各种应用高速发展,大量企业用户和合作伙伴将会涉及到各种复杂的在线交易、数据交换,包括库存管理、客户关系管理。这些应用程序通常与敏感数据资产相关。

在应用Web化之前,这些应用程序位于公司网络深处,受到多层安全保护。现在,这些应用被翻新成基于Web的“体验”,以支持更大规模的用户或合作伙伴,也就被迫迁移至离网络边界更近的位置。

Web防御强调性能

谢青向记者表示,X-UTM将成为新一轮安全投资的重点。X-UTM已经在Web防御性能、应用层过滤性能以及网络基础性能三方面具备强大的技术优势,从全球的情况看,极有可能取代传统防火墙市场的大部分份额。而且IDC以及Gartner都频频对此抱以期待,因此有理由相信X-UTM在国内的井喷潜力。

梭子鱼通过收购Netcontinum进入到了应用防火墙市场,于2008年正式将应用防火墙推向市场,从技术角度上说,其最大的特点是利用策略实现应用层流量的过滤。梁中钢介绍称,梭子鱼应用防火墙提供信息阻断、应用层安全防御和关键业务加速三大功能。

记者了解到,其中信息阻断功能就是将应用防火墙部署在Web服务器群的前方,并提供反向代理,也就是说,所有Web的交互信息都将被应用防火墙拦截,在应用防火墙中缓存,再通过扫描过滤放行无害的流量,阻断有危险的流量,加上相关的关键业务的策略配置,从而达到有效防御应用层攻击的目的。

需要注意的是,目前在金融、电信、医疗、大企业等行业,用户对多功能应用安全网关非常感兴趣,从功能的专业性而言无论是UTM、下一代安全网关还是Web安全网关都能在一定程度上满足这些行业用户的需求。

但作为合格的企业级多功能应用安全网关,除了具有全面的功能外,开启所有功能后的性能也是不容忽视的,也是用户选择多功能安全网关时需要多方面评测的重要指标之一。

这就需要用户在对各个功能模块的实现技术与原理进行深入研究以辨明安全防御和管控功能的同时,也需要辨明设备架构、操作系统以及扫描处理算法,甚至功能实现技术所带来的性能差异。功能再全面,如果没有良好的性能,那也只能是花架子。

猜你喜欢
应用层网关漏洞
漏洞
三明:“两票制”堵住加价漏洞
新一代双向互动电力线通信技术的应用层协议研究
高铁急救应补齐三漏洞
应对气候变化需要打通“网关”
一种实时高效的伺服控制网关设计
基于Zigbee与TCP的物联网网关设计
Current advances in neurotrauma research: diagnosis, neuroprotection, and neurorepair