随着互联网应用的不断发展,应用安全威胁的范围和内容也随之扩大和演化。国内复杂的互联网IT环境,让互联网商业安全的挑战变得愈加严峻。究竟怎样才能高效的防御多样化的攻击呢?


如何共筑互联网商业安全的铜墙铁壁? OneAPM 新闻 第1张


4月16日,在新起之秀OneASP主办的「互商英雄会」主题沙龙上,上海斗象科技 CTO 张天琪,ONEASP 应用安全顾问孙政豪,云农场技术 VP 李玉峰以及白帽汇联合创始人陆立业等4位安全专家和顾问,他们给国内几十家公司的创始人和安全总监分享了企业应如何做好安全防护工作,从漏洞扫描、攻击防御和威胁情报等三方面,分别阐述了企业如何建立漏洞感知系统,如何防御应用层的安全问题,如何做好威胁情报和安全大数据的处理,从而「共筑互联网安全的铜墙铁壁」,编织出一张最严密的安全防护网。


如何共筑互联网商业安全的铜墙铁壁? OneAPM 新闻 第2张


战术到战略:企网络资产发现与威胁感知

上海斗象科技 CTO 张天琪曾就职于阿里巴巴和知道创宇,在网络安全领域拥有丰富的实践经验,他认为传统漏洞扫描或安全检测产品大多是以合规为导向,从战术上解决企业的安全需求,但是仍然难以做好企业安全防护工作。对企业而言,决策者需要把最多的资源和精力投入到最值得的资产上,包括漏洞扫描情况、设备配置情况、潜在攻击路径、应用和数据库状况、安全情报、各类基准等因素。


如何共筑互联网商业安全的铜墙铁壁? OneAPM 新闻 第3张


张天琪还阐述了创新企业如何做好安全感知工作,然后通用漏洞和第三方PoC检测、基于数据的风险识别能力、海量漏洞和情报持续转化、感知用户资产变化并自动提供预警、突发高危漏洞监控等多种手段来感知到安全漏洞、配置缺陷、人为弱点以及威胁情报等等。


互商企业如何构建应用层防护壁垒?

ONEASP 应用安全顾问孙政豪,首先分析了国内Web安全的现状,在2014年全球10大安全事件中,其中有4件都是发生在中国。而权威数据表明,超过80%的攻击发生在应用层,多样化的攻击越来越难以防御,Web系统开发商在安全领域投入少,所以国内的互联网的安全问题存在很多的漏洞。


如何共筑互联网商业安全的铜墙铁壁? OneAPM 新闻 第4张


孙政豪重点阐述了Web应用防火墙(WAF)以及运行时应用自我防护(RASP)这两种防护方法。虽然WAF技术能够用精炼的规则对攻击实施过滤,加上HTTP协议合规检查、状态码过滤等机制,降低数据泄露风险。但是“边界保护”技术无法深入应用内部,对应用的逻辑数据流理解不全面,由此误杀率高的现象时有发生。

所以在2014年9月份,Gartner的调研员Feiman提出的一种全新概念——实时应用自我保护技术(Runtime Application Self-Protection)。众所周知,国内安全领域的指导人才少见,缺乏安全且有效的流程指导文档,研发团队往往很少考虑安全因素,而RASP技术能够像一剂疫苗注入到应用中,与应用一起运行,对外提供服务;结合应用的逻辑和数据流,在运行时对访问应用的代码进行检测;对于已知漏洞,相当于为其打了虚拟补丁,起到补偿控制后的作用。所以很快得到了市场的认可。


如何共筑互联网商业安全的铜墙铁壁? OneAPM 新闻 第5张


此外,孙政豪还给互联网厂商提供了三条安全建议,首先是树立安全防护意识;其次还要谨慎选择安全防护方案,不要试图通过让系统变复杂来换取安全,越复杂越容易暴漏缺陷,也要充分考察解决方案的合理性,预防因方案漏洞引入新的威胁。最后一点,没有一劳永逸的方案,因为黑客攻击手段越来越先进,安全防护方案不可能是一成不变的,所以我们要持续关注安全防护的发展方向,时刻做最有效的调整。


聚焦安全

云农场技术VP李玉峰从三个层面阐述了对安全的理解,首先是外功——起源江湖,黑客发展起源于20世界90年代,“黄金时期”发生在中美黑客大战后,最近几年,我们称之为“黑暗时期”。当然在此期间,Web的攻击方式也在不断升级,从WEBSHELL、SQL注入,再到XSS和CSRF,目前的攻击更是延伸到了应用层,还有各种APP等等。那么企业如何修炼内功呢?

真正的武林高手,外功的凌厉,需要深厚的内功修为。天下武功,皆离不开强大的内功修为,一旦内功深厚,修炼各种武功,都游刃有余!所以李玉峰给出了三点建议:Confidentiality:要求保护数据内容不能泄露,而加密是实现机密性要求的常见手段;Integrity:要求保护数据内容是完整、没有被篡改的,常见的保证一致性的技术手段是数字和签名;Availability:要求保护资源是“随需而得”,拒绝服务攻击破坏的是安全的,而且可用性很高。


如何共筑互联网商业安全的铜墙铁壁? OneAPM 新闻 第6张


在最后环节,李玉峰介绍了如何锻造神兵利刃,详细阐述了WEB安全规则集,通过黑名单、白名单、最大程度小化权限、纵深防御原则、统一威胁管理 (Unified Threat Management)、数据与代码分离原则等多种手段来帮助企业做好安全防护工作。

李玉峰在演讲中还特别推荐了RASP技术,一方面在于,RASP 能够直接安装到服务器上,不用选择系统、服务器等,也不需要新建站点,只需上线分析日志选择策略即可,所以比 WAF 更加简单快捷。再者而言,RASP对防御跨站请求伪造 CSRF、跨站脚本攻击 XSS、DDoS 攻击、SQL 注入以及不安全的直接对象引用等多种攻击方式,能够实现“代码级”的防御,安全防御更加高效和专业。


新形势下的企业威胁对抗

白帽汇联合创始人陆立业分享的主题是“新形势下的企业威胁对抗”。数据表明,互联网公开的安全事故已导致,11.3亿的用户信息泄露。但是对企业来说,数据就是“核心”,所以信息安全问题对企业的重要性不言而喻。


如何共筑互联网商业安全的铜墙铁壁? OneAPM 新闻 第7张


为什么有人花高价购买乌云的白帽账号?为什么有人到处在买卖数据?有多少大型企业的数据在外流传?黑客拿这些数据干什么?钓鱼者洗库为什么一天可以转走100万?一条个人信息卖多少钱?导致这些问题的原因,就是传统的安全防护体系崩塌,而且黑客技术在不断进化,企业安全面临“断奶”,市场呼唤新的“英雄”。

陆立业详细阐述了白帽汇产品及解决方案,包括NOSEC大数据安全协作平台、Andersen企业威胁分析平台(SaaS)、EWSIS企业网站安全监控系统以及ETSS企业威胁感知系统(私有云)等等。当企业有一套安全解决方案能够实时了解自身的威胁情报时,企业的安全将最大程度的得到保障。


如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。