移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

用“新”打造 下一代应用安全

时间:2014-05-12 17:37来源:TuZhiJiaMi企业信息安全专家 点击:
4月18日,由网络世界与OWASP共同主办的“应用安全高峰论坛2014 ”在亮马河大厦举行,本次大会的主题是“下一代应用安全”。正如网络世界报社副总编辑文山在大会致辞中所指出的那样,如今
Tags应用安全(1006)下一代防火墙(15)  

  4月18日,由网络世界与OWASP共同主办的“应用安全高峰论坛2014 ”在亮马河大厦举行,本次大会的主题是“下一代应用安全”。正如网络世界报社副总编辑文山在大会致辞中所指出的那样,如今我们置身Web2.0时代,网络安全充斥在我们的日常生活中。国内外企业用户对网络安全尤其是应用安全的重要性日趋认同。网络安全在特殊产业链条上的意义和定位也成为制约IT和其他方面发展的关键因素。能否很好的解决网络安全问题,不仅关系到产业自身的发展,也必将对我国信息化的发展进程产生重大影响。

  智能安全打破网络边界

  从攻击形式到攻击目的,网络安全的威胁一直在不停的变化。从最初的脚本攻击病毒、木马,到如今的DDoS[注]和APT[注]攻击;过去的黑客攻击更多为了展示技术,而现在网络犯罪团伙大多出于利益驱动。这些变化都为今后的网络安全防范提出了一些新的应对视角。前不久在美国举行的RSA大会上,“智能安全”成为热点趋势之一,即从一定程度反应出下一代网络安全的发展方向。而智能时代做到以下几点尤为重要:第一,更早的发现威胁。第二,更准确的定位威胁。第三,更有效的安全管理。

  山石网科副总裁、首席技术专家杨庆华认为,智能关联对于下一代防火墙[注]意义重大。然而,下一代防火墙标准中根本没有联动这个概念。其实对威胁的分析有众多维度,包括网络流量分析、工作负载分析、网络入侵取证、终端行为分析、终端入侵取证。但并不是说其中一个维度出了问题,网络就必定有问题。因为:首先,很多问题未必要实时做,因为网络状态实时未必有用。其次,至少有两个架构层符合违规可能才构成威胁。第三,一定要去做主动的网络分析,才能得到更好的安全防护。

  然而,现实情况通常是企业级用户管理员几乎不看日志。一是因为日志难懂,二是日志量太大。杨庆华认为,系统可以去做这件事,将搜集来的数据加以分析并形成规则,变成一个建设性的执行者,这便是下一代智能防火墙。下一代智能防火墙基于传统防火墙和下一代防火墙的用户识别以及应用识别功能,同时加入行为的信誉指数和全网健康指数,构成了一个综合性、多维度的安全分析。可以实时分析流量,可以对未知威胁提前发现并予以处理,用户和主机行为可以实现可视化。

  杨庆华认为,网络行为的信誉度是下一代智能防火墙的另一个重要方面。其基于六种威胁进行防护、形成网络各个点的行为信誉报表,来对二到七层进行安全防护,可以非常直观的知道网络中哪些行为是异常的,并能够清楚呈现网络的健康状态以及全网的健康报告。

  下一代智能防火墙给用户带来的价值颇多。首先,可以识别未知的风险。其次,可以更早的去检测到未知的威胁,并且看到威胁的等级,并能实时的掌握用户的状态、可用性、延迟、以及响应速度。最后,通过可视化的一系列工具提到全面的用户体验。

  NGFW能代替WAF吗

  2005年,网络安全界话题最多的是UTM能否替代防火墙;2009年,争论最多的则是IPS能否替代WAF;2013年则更多围绕“NGFW能否替代WAF”展开了一场口舌博弈。然而,NGFW究竟能否像一部分人所期待的那样能够完美地解决应用层的问题?

  WebRay CTO权小文在题为“高性能Web应用防火墙设计与NGFW异同”的主题演讲中认为,下一代防火墙的核心是一体化引领和一体化策略,多运用DPI、DLP的检测以及特征匹配的技术等。而应用防火墙WAF的主要功能是:第一,解决外部安全的问题,包括信息泄露、木马检测、以及协议完整性。第二,解决服务器前面临的负载均衡、列入检测问题。第三,保护的核心资产是服务器。大量的DDoS都是针对服务器,因此要处理DDoS的流量。而如果下一代防火墙要处理这些,则其性能消耗是巨大的。

  他认为,防火墙的标准仅是WAF设计时必须遵循的标准之一。例如,对应用层扩展的处理始终围绕服务器。同时,特征匹配是检测的规则,这就是最简单的防火墙的规则。此外,WAF的核心思想必须围绕服务器展开。近几年,更多的应用安全厂商将把负载均衡和广义网加速整合在WAF中。根据Gartner2014年的报告(如图),国内安全厂商一直在致力于自动策略学习、对数据的挖掘、对策略自动学习的调整,而这些所涉及的算法之复杂是WAF与NGFW的很大区别。

  应用安全“新”在哪

  国人对网络安全的了解,最早期关注在桌面安全领域。之后的一段时期,更多地聚焦于对各种设备的入侵检测及防御。目前,越来越多的关注点落脚在应用安全方面。Web应用的存在,使得攻击者只需一个简单的sec注入,就可轻松拿到所有目标数据。随着网络上的应用流量不断增加,敏感数据面临着遭受针对企业应用的漏洞攻击的风险。如此一来,数据恢复流程、法律诉讼费用以及知识产权数据丢失所带来的财务影响会非常严重。许多管理员认为他们的网络是安全的,因为他们部署了防火墙,但是,黑客会选择攻击应用层,因为该层存在更大的漏洞。

  陈亮向参会者介绍了OWASP和应用安全联盟。OWASP目前的重点研究领域首先是针对WAF的防注入、防跨站基础功能进行的测试。此外,OWASP还进行防御能力测试和WAF的自身安全测试及性能测试。应用安全联盟是由行业专家、应用安全厂商、应用安全行业用户的代表共同成立的开源技术的非盈利组织,对于促进行应用安全技术交流及对厂商和用户的技术指导均有重要的意义。

  Ixia高级业务发展经理孙震表示,所谓应用安全和仿真在测量领域已经出现很多年。通过技术上的变化和理念上的创新得到了一些新的拓展。而对于Ixia来说,“新”在哪里?其一,Ixia正在仿真一个典型的环境,而不像过去那样仿真只是针对单个业务。其二,Ixia提出了流量场景测量的概念。

  Ixia始终在数据测试的核心能力上发展。近两年,Ixia对于运营商市场和行业网市场进行了战略性部署并投入了更多的精力。对于金融等行业网客户而言,数据网络应用的规模和复杂度越来越高,其对于IP的测试需求也会逐步显现,虽然过去他们对于网络测试的关注较少,然而随着网络规模的提升,可靠性、数据传输的准确性和及时性对诸如高频交易等新业务的影响越来越大,他们在网络测试方面也有更多重视。

  从测试视角看各个行业,其共同关注的就是数据的可靠性、及时性和安全性,有些行业如金融机构如果出现问题,会影响很大。这方面也是Ixia在通信测试中,包括从路由交换测试和网络测试到应用、安全测试都较为擅长的领域。除此之外,还有对网络环境的持续监测过程,Ixia也具有相关的“网络可视性”解决方案,能够帮助其优化监测环境。

  陈亮最后总结到,未来更大的网络攻击不会仅存在于互联网,而会向办公平台转移。如近期微软就在推云办公平台。作为一种新兴的应用模式,云计算[注]将传统的应用计算资源整合形成容量更大、速度更快的云服务中心。其以虚拟化技术为基础,以网络为载体,提供基础架构(IaaS[注])、平台(PaaS[注])、软件(SaaS[注])等服务,整合大规模可扩展的计算、存储、数据、应用等分布式计算资源进行协同工作的超级计算模式,在大幅度节省用户计算成本的同时提高了计算效率,它会给源代码分门别类,却也隐藏着极大的安全隐患。根据云计算安全联盟(CSA)去年发布的报告,云计算所带来的数据泄露、数据丢失和数据劫持三类威胁日益猖獗。在此背景和大环境下,身份认证和数据的安全就显得犹为重要,而数字证书非对称的加密特性为上述问题提供了解决之道。

------分隔线----------------------------

推荐内容