确保网络安全:要有真功夫

  在现实生活中,任何人只有自己掌握“真功夫”,才能更好地保护和发展自己;对于网络中的应用程序也是如此。即使防火墙再健全,如果应用程序本身漏洞百出,又怎能抵御漏洞利用的种种伎俩?所以,只有应用程序自身足够强健,才能在面临各种网络攻击时真正做到“敌军围困万千重,我自岿然不动”。

  在未来的几年中,影响企业应用程序及企业安全的一个战略性问题就是,如何利用基于风险的安全感知和自我保护技术。

  完全安全的环境是不可能的,但企业可以利用更高级的风险评估和迁移工具来提升安全性。其中包括安全感知的应用程序设计、动态和静态的应用程序安全测试,运行时应用程序的自我保护与积极的环境感知、自适应访问控制等。

  应用程序的“自我感知”,其本意是可以在某些恶劣条件(威胁、错误)下保护和自动地重新配置而无需人为的干预。

  如何理解这种技术?

  提高应用程序安全性的一种方法就是编写更安全的代码。而静态的应用程序安全测试可以在部署应用程序之前更好地实施保护,它也有助于提高安全性。另一种方法就是实施特定应用程序的访问安全(在这一点上不妨考虑一下Web应用防火墙),其目的是为了在网络层上检测应用程序的入侵。

  第三种方法是使应用程序能够更好地感知潜在的安全问题,或是将防御构建到应用程序内部。这就是应用程序的感知安全,即在应用程序部署之后保护应用程序的问题。

  自我感知和自我保护的应用程序可以将安全控制和动作直接嵌入到应用程序代码中。对于移动应用,黑客的主要攻击就是要在面向公众的应用商店中找到流行应用进而嵌入恶意软件,并通过第三方商店发布恶意程序的副本。

  而自我保护的应用程序可以使恶意行为的实施更困难。而且,自我保护的应用还可以通过加密数据保护来应用程序接收或发送的数据。

  例如,将安全控制嵌入到正在运行的Web应用中就是运行时应用程序的自我保护的一个例子。这些控制位于应用程序的虚拟机中,并可以截获对系统的所有调用。从本质上说,这种技术就是将数据请求的确认和验证直接嵌入到应用程序中。

  利弊一览

  在强化总体的安全性方面,自我感知或自我保护的应用程序可以给企业带来诸多益处。例如,保护应用程序的传统方法一般都是由人工创建实施的,其速度可能很慢,而且,保护主要是基于静态的后续部署。这是一种非常被动的方法,且不能实时地适应新威胁。而自我保护的应用程序可以保证在已知的状态中的有效性。

  在强化总体的安全性方面,这种应用程序可能无法清除漏洞,却可有助于移除被感染的组件。当然,日后打补丁可以修补漏洞,并使影响最小化。创建自我保护的应用程序要求开发团队和操作人员之间的密切协作。

  运行时应用程序的自我保护技术可以监视(正如Web应用防火墙的许多功能一样)更多的细节。通过强化应用程序并将其部署在可以监视所有进入请求、数据库操作、虚拟机调用甚至是操作系统调用的地方,那么,运行时应用程序保护这种技术就可以更详细地监视系统的动作。与其它方法相比,这种方法有助于提高准确性。

  与自我感知或自我保护应用程序有关的一个问题可能是,在应用程序执行自我救治过程时,可能会有性能影响。最糟糕的情况是,对业务产生重大影响。从投资收益角度来说,验证这种应用程序可能会比较困难,因为有时自我救治的应用程序要求较高的冗余度,这会增加成本。

  在使用这种应用程序时,企业必然有一种学习曲线。企业必须考虑在应用程序的自我救治、声誉降低、失效转移过程中,应用程序状态可能发生的状态转换。这可能与企业的固定预算、更短的开发及发布周期相冲突。

  关于自物保护和“容错”的困惑是另一个问题。虽然容错是好事,但在出错后,自我保护如何实施却是问题的关键。

  期望

  就方案的可用性来说,应用程序的自我感知和自我保护可谓年富力强,也非常具有创新性,它把安全数据分析的边界推向了云和本地应用中。

  从强化和封装安全性的角度看,这种技术在移动领域中有很大的吸引力,在将来也会继续增长和发展。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:安全威胁愈演愈烈 企业要具备前瞻性