應用程序安全專業知識:WAF服務的附加值
精明的應用程序安全解決方案提供商可以在Web應用程序防火墻(WAF)的選擇、部署和管理中為客戶提供額外的好處,協助客戶建立有效的應用程序以及數據保護方案。
近年來,Web應用程序防火墻已經成為企業滿足某些規則遵從要求(包括數據保護)所需要的工具,可是很少有企業在部署和管理WAF方面具有專業知識。因此,許多公司將依靠方案提供商,讓他們協助自己實現最好的產品部屬。
“整個應用程序安全策略市場仍被嚴重低估”,位于美國密蘇里州堪薩斯市的Fishnet安全公司常務董事Mark Carney表示,“情況正在改善,但是整個安全社區并不能很快地理解應用程序防火墻所需要的操作和管理水平,以及如何才能有效地對付Web應用程序漏洞。”
即使對于那些所謂的“復選框”規則遵從部署而言,這也可能是真的,因為他們需要滿足某些特定的遵從規則,比如支付卡行業數據安全標準 (PCI DSS)中的要求6.6,該規則要求用戶要么部署Web應用程序防火墻,要么采用手動或自動的源代碼審查或者應用程序漏洞掃描。
PCI DSS要求對Level 1商家(每年交易量超過六百萬份的企業)進行審計;MasterCard最近增加了Level 2商家(每年的交易量在一百萬份到六百萬份之間的企業)的審計要求。經驗豐富、積極的、合格的安全評估員(QSA)都希望公司能夠證明他們已經安裝了Web應用程序防火墻,并且正在運行。
位于美國賓夕法尼亞州梅卡尼克斯堡市的ICSA Labs公司(該公司是Verizon Business公司的獨立部門,提供中立的安全產品測試和安全產品認證,其中包括WAF認證)負責WAF的經理Brian Monkman說道,“有些審計員會問,‘你們有Web應用程序防火墻嗎?’然后說,‘好吧,檢查一下’。但是有些審計員會問更具體的問題,而Web應用程序防火墻存在的時間越長,它們就越成熟,這些問題就越深入。”
位于美國加利福尼亞州Redmond Shores的Imperva公司首席安全戰略家Brian Contos表示,企業通常需要確定用戶如何與應用程序進行交互,以及應用程序可以訪問哪些關鍵數據等。而合作伙伴所提供的預先發現(up-front discovery)功能可以當成一種WAF服務,從而確定應用程序和相關數據是否在規定的操作范圍以內。
“毫無疑問,數據安全比網絡安全更難管理,”Contos表示。“如果你不知道敏感數據在哪兒,就很難搞清楚用戶是如何進行交互的。”
一般而言,WAF是通過最初的規則標準進行“學習”的,其中包括一段時間的測試,以便確定哪些是可接受的行為、哪些有問題,以及哪些是惡意的。
這是方案提供商的另一個機會,因為測試結果必須加以分析,并把結果報告給客戶。結果分析完成之后,方案提供商可以跟客戶一起合作,根據公司策略以及潛在的攻擊,建立自定義規則,確定哪些行為是允許的,哪些需要警告,哪些需要阻止等。
Contos 指出,“這變成了一種顧問式關系,與只是提供技術相比大大提升了產品的附加值。”
大型的、復雜的WAF部署尤其如此。專家表示,為了能夠最好地協助客戶,VAR應該懂得應用程序后面隱藏的業務邏輯、應用程序是如何工作的、它的開發平臺式,以及它所使用的編程語言等。
Fishnet公司的Carney表示,“我們需要了解的最重要的事情是應用程序都比較復雜。它們不像網絡流量那么簡單、那么容易預測。”
他指出,了解即將部署的新應用程序以及現存的應用程序是否有所變化尤其重要。客戶必須經過培訓,知道如何修改WAF規則來適應這些變化;或者必須與方案提供商約定好額外的服務,讓他們來完成這些工作。
Carney指出,“環境越是多變,產品就越需要照顧和管理。”
在動態的環境中,方案提供商可以用Web應用程序掃描器進行滲透測試,以發現變化引起的漏洞。Monkman表示,消費者的WAF部署最好結合掃描工具或掃描服務。比如,WhiteHat Security公司基于云的應用程序掃描服務就集成了多個WAF產品。該服務(或者說產品)可以創建“虛擬補丁”,從而阻止某些特定的漏洞利用,直到問題代碼被修復為止。
這對于不能離線的關鍵生產應用程序來說至關重要。創建和測試補丁都需要時間,尤其是當開發過程已被外包給別人時。
“你需要有人能夠完全理解安全編碼、Web應用程序防火墻,以及漏洞掃描器是如何工作的、應該怎樣整合它們,”Monkman說道。
這種專業知識的整合非常短缺,這讓方案提供商有了提供應用程序安全服務的機會,不僅僅是簡單的WAF部署。
“為應用程序,尤其是為動態的應用程序設計安全特性,你最好有一個合作伙伴,”Contos指出,“隨著網絡安全日益商品化,我認為這個領域將來會有很大的增長。”
【編輯推薦】
