“諾曼底”也好��,“短板”也好,真的現(xiàn)實(shí)存在嗎���?作為信息安全權(quán)威專業(yè)人士,何迪生告訴我:不僅存在��,而且用戶意識(shí)非常薄弱�����,不經(jīng)意之間�����,用戶的門戶洞開����。
沒有出事情,要么是運(yùn)氣好����,要么就是事情已經(jīng)出了,還沒有意識(shí)到�����。在國內(nèi)����,今年4月��,某電商用戶數(shù)據(jù)泄露,一夜之間�,股票市值蒸發(fā)了8.6%,給品牌帶來了難以挽回的影響�����。Gartner的數(shù)據(jù)報(bào)告顯示����,如今有超過80%的攻擊都發(fā)生在應(yīng)用層,如何防護(hù)應(yīng)用層安全成為現(xiàn)階段的首要任務(wù)之一��。
劍指“應(yīng)用安全”
應(yīng)該說�����,何迪生先生輝煌的履歷是促成采訪并形成本文的原因��。他在北美工作12年���,后來又負(fù)責(zé)微軟安全業(yè)務(wù)11年�。2000~2011年,擔(dān)任微軟香港區(qū)首席安全官��,管理2.5億美元微軟信息安全及核心技術(shù)架構(gòu)業(yè)務(wù)開發(fā)��,管理過香港賽馬會(huì) e-Betting 及 匯豐銀行的科技項(xiàng)目��,以及2008年北京奧運(yùn)會(huì)城市運(yùn)行指揮平臺(tái)安全顧問���,WTO第六次部長會(huì)議首席安全咨詢師�。
當(dāng)問到為什么會(huì)選擇OneAPM這家剛剛在新三板上市的公司時(shí)����,何迪生說到:將下一代應(yīng)用層安全在國內(nèi)落地是我們共同的目標(biāo)。
何迪生還指出:棱鏡門之后�����,信息安全已上升到了國家戰(zhàn)略高度�����。為此��,政府投入巨資保障信息安全。但這些投入主要集中在網(wǎng)絡(luò)層��,主機(jī)層的防護(hù)上�����,諸如我們所熟知的防火墻����、IDS/IPS����、AV、主機(jī)加固及補(bǔ)丁管理等����。
與網(wǎng)絡(luò)層和主機(jī)層安全相比,如今更多的入侵者已經(jīng)開始轉(zhuǎn)移戰(zhàn)場���,選擇應(yīng)用層為突破口��。SQL注入���、跨站腳本攻擊 (XSS)、跨站請(qǐng)求偽造(Cross-site request forgery )都是黑客經(jīng)常采用的攻擊方式�����,他們通過SQL注入的方式,盜取大量用戶數(shù)據(jù)����。通過“HTML注入”篡改網(wǎng)頁、插入惡意的腳本控制用戶瀏覽器����,以正常的用戶身份在網(wǎng)站上發(fā)消息、買東西����,甚至轉(zhuǎn)賬。這些攻擊手段十分隱蔽�����,危害之大讓人防不勝防����。
如今傳統(tǒng)的信息安全防護(hù)方案,對(duì)于應(yīng)用軟件�、數(shù)據(jù)安全的防范作用有限。傳統(tǒng)信息安全防護(hù)方案中,WAF(Web Application Firewall)是如今比較常見的應(yīng)用層安全解決方案����。但WAF這類邊界保護(hù)防護(hù)方案,對(duì)于管理人員的要求十分高�����,但目前我國安全人才稀缺����,有調(diào)查報(bào)告指出,我國每年對(duì)于安全人才的需求達(dá)到100萬���,但實(shí)際人才輸出僅有2W,有高達(dá)98% 的缺口�;因此由于策略配置的不妥當(dāng)帶來的誤殺誤報(bào)現(xiàn)象也就十分嚴(yán)重。
據(jù)介紹�����,RASP技術(shù)的原理是將保護(hù)代碼像一劑疫苗注入應(yīng)用程序中��,結(jié)合應(yīng)用的邏輯及上下文���,對(duì)訪問應(yīng)用請(qǐng)求的每一段代碼進(jìn)行檢測��,相比于WAF來講���,可以實(shí)現(xiàn)簡單管理及提升了檢測的精準(zhǔn)性���。
小結(jié)
何迪生表示:RASP技術(shù)并不會(huì)完全取代WAF,信息安全是一個(gè)層層設(shè)防���,縱深防御的過程�,RASP探針是保護(hù)應(yīng)用安全的最后一道無法逾越的防線��。
“我們正在中國開創(chuàng)新一代安全體系的歷史���,這是前所未有的��?����!焙蔚仙f�����。
