信息泄露、惡意攻擊并非都由病毒和木馬引起,造成風(fēng)險(xiǎn)的原因還有系統(tǒng)漏洞和第三方應(yīng)用軟件漏洞。

第三方應(yīng)用不安全

微軟在今年4月8日發(fā)布了第六期《微軟安全研究報(bào)告》。該報(bào)告顯示,隨著軟件公司改善了操作系統(tǒng)的安全性,目前第三方應(yīng)用軟件已成為惡意軟件的主要攻擊目標(biāo),2008年下半年發(fā)現(xiàn)的漏洞中有90%涉及到應(yīng)用軟件。

微軟公司大中華區(qū)戰(zhàn)略安全架構(gòu)師裔云天說(shuō),如今,在具有一定規(guī)模的企業(yè)的IT環(huán)境里往往存在著少則上百個(gè),多則上千個(gè)大大小小的業(yè)務(wù)應(yīng)用,小到支持幾個(gè)人的小規(guī)模團(tuán)隊(duì)的協(xié)同應(yīng)用,大到貫穿于一個(gè)企業(yè)生產(chǎn)、經(jīng)營(yíng)、管理全過(guò)程的企業(yè)級(jí)應(yīng)用。隨著軟件公司改善了操作系統(tǒng)的安全性,攻擊者已經(jīng)把目光轉(zhuǎn)向應(yīng)用層面。降低信息技術(shù)給企業(yè)帶來(lái)的各種安全風(fēng)險(xiǎn),無(wú)疑已成為當(dāng)今所有企業(yè)面臨的新挑戰(zhàn)。

報(bào)告中顯示,在最近四年里出現(xiàn)的安全漏洞中,全球排名前五大IT廠商,包括微軟、IBM、思科、甲骨文和蘋(píng)果在內(nèi),總共的系統(tǒng)漏洞只占了所有漏洞的14%,而其他的占了86%。在2008年出現(xiàn)的所有安全漏洞中,對(duì)Windows XP有影響的漏洞占41%左右,而影響Windows Vista的只占了5.5%,也就是說(shuō)從安全角度來(lái)看,Windows Vista的安全性遠(yuǎn)遠(yuǎn)超過(guò)了Windows XP。換句話說(shuō),在即將面世的Windows 7中,安全性會(huì)更高。

從近幾年發(fā)現(xiàn)的漏洞狀況來(lái)看,基本上90%的第三方應(yīng)用軟件漏洞都可以被黑客用來(lái)發(fā)起遠(yuǎn)程攻擊。也就是說(shuō),如果某個(gè)存在漏洞的電腦接入互聯(lián)網(wǎng),一個(gè)黑客可以從全世界任何一個(gè)國(guó)家對(duì)它發(fā)起攻擊,或者偷取數(shù)據(jù),或者對(duì)它進(jìn)行控制。

裔云天解釋說(shuō),這是因?yàn)榈谌杰浖_(kāi)發(fā)商沒(méi)有把安全問(wèn)題考慮進(jìn)去,更多的是考慮軟件的功能性,所以漏洞百出。

在微軟安全博客中,微軟大中華區(qū)安全組成員表示,企業(yè)信息安全的涵蓋面非常廣,涉及到人員、流程和技術(shù)等諸多方面的因素。正因?yàn)槿绱?一方面,信息安全越來(lái)越受到廣泛的關(guān)注,并且企業(yè)在信息安全方面的投入不斷增加,而另一方面,各種給企業(yè)造成負(fù)面影響的安全事件卻層出不窮。單純的技術(shù)手段往往無(wú)法幫助企業(yè)徹底消除存在的諸多安全問(wèn)題,只有建立起一整套安全策略和流程,通過(guò)合理地資源配置并且充分利用各種技術(shù)和非技術(shù)手段,企業(yè)才有可能更加有效地管理各類(lèi)安全風(fēng)險(xiǎn)。

改進(jìn)軟件開(kāi)發(fā)流程

從前“尋找安全漏洞”的做法并不能真正保證應(yīng)用的安全性。裔云天認(rèn)為,企業(yè)有必要改進(jìn)軟件開(kāi)發(fā)流程,做到在應(yīng)用開(kāi)發(fā)的整個(gè)過(guò)程中自始至終地關(guān)注應(yīng)用安全。保證和提高應(yīng)用安全性的最佳時(shí)機(jī)是在應(yīng)用的開(kāi)發(fā)階段。

微軟可信賴安全部門(mén)通過(guò)多年來(lái)在安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn),創(chuàng)建了一整套安全開(kāi)發(fā)流程,即信息技術(shù)安全開(kāi)發(fā)生命周期流程(Secure Development Lifecycle for Information Technology,縮寫(xiě)為SDL)。該流程包含一系列的最佳實(shí)踐和工具,多年以來(lái)不僅被用于微軟內(nèi)部業(yè)務(wù)應(yīng)用的開(kāi)發(fā)過(guò)程中,而且也被成功地應(yīng)用在許多微軟客戶的開(kāi)發(fā)項(xiàng)目中。

安全開(kāi)發(fā)生命周期有兩個(gè)目標(biāo):一是縮減與安全性有關(guān)的設(shè)計(jì)缺失與程序碼缺陷錯(cuò)誤,二是降低未完全解決的缺陷錯(cuò)誤的嚴(yán)重程度。

記者了解到,SDL流程涵蓋了軟件開(kāi)發(fā)生命周期的整個(gè)過(guò)程。目的是通過(guò)在軟件開(kāi)發(fā)生命周期的每個(gè)階段執(zhí)行必要的安全控制或任務(wù),保證應(yīng)用安全最佳實(shí)踐得以很好地應(yīng)用。SDL強(qiáng)調(diào)在業(yè)務(wù)應(yīng)用的開(kāi)發(fā)和部署過(guò)程中對(duì)應(yīng)用安全給予充分的關(guān)注,通過(guò)預(yù)防、檢測(cè)和監(jiān)控措施相結(jié)合的方式,降低應(yīng)用安全開(kāi)發(fā)和維護(hù)的總成本。

SDL流程的第一步首先是對(duì)所要開(kāi)發(fā)的應(yīng)用程序進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,接下來(lái)SDL-IT流程要求為應(yīng)用建立安全威脅模型。在應(yīng)用程序投產(chǎn)前,微軟要求由獨(dú)立的安全團(tuán)隊(duì)對(duì)應(yīng)用程序的安全性進(jìn)行綜合評(píng)估。主要內(nèi)容包括對(duì)應(yīng)用進(jìn)行代碼安全審核(即白盒安全測(cè)試)以及對(duì)應(yīng)用程序的部署及環(huán)境進(jìn)行安全審核。

雖然SDL會(huì)在一定程度和一定階段增加應(yīng)用開(kāi)發(fā)的成本,但是卻可以有效地幫助企業(yè)提高開(kāi)發(fā)、部署和投產(chǎn)的應(yīng)用的安全性和質(zhì)量。SDL以往只是在微軟內(nèi)部使用,用來(lái)保證操作系統(tǒng)的安全性。從去年下半年開(kāi)始到現(xiàn)在,國(guó)外已經(jīng)有十余家企業(yè)開(kāi)始采用SDL對(duì)應(yīng)用軟件進(jìn)行開(kāi)發(fā)和評(píng)估。

傳統(tǒng)防火墻無(wú)法應(yīng)付Web威脅

■ 本報(bào)記者那罡

Gartner統(tǒng)計(jì),目前75%的攻擊已經(jīng)轉(zhuǎn)移到應(yīng)用層,企業(yè)的網(wǎng)站不斷遭到攻擊,原有的防火墻已經(jīng)不能滿足企業(yè)對(duì)網(wǎng)絡(luò)攻擊的防御。這是因?yàn)閼?yīng)用層面非常廣,比如說(shuō)Web應(yīng)用、郵件應(yīng)用、中間件應(yīng)用等,應(yīng)用在不斷增多,導(dǎo)致現(xiàn)在很多攻擊在應(yīng)用層,用戶原有的防火墻或是IPS不能進(jìn)行全面的防御了。

Web威脅在加劇

當(dāng)前全球安全漏洞的發(fā)現(xiàn)速度在快速上升,Web威脅也在加劇。同樣,利用這些漏洞所進(jìn)行攻擊的數(shù)量也在上升,這些攻擊所采用的技術(shù)也更加先進(jìn)。對(duì)于中國(guó)的IT管理員來(lái)說(shuō),他們既要保護(hù)好關(guān)鍵數(shù)據(jù),又要使網(wǎng)絡(luò)性能滿足要求。因此,發(fā)現(xiàn)并且解決這些漏洞正在快速變?yōu)橐豁?xiàng)艱巨的任務(wù)。

Fortinet全球總裁謝青認(rèn)為,安全廠商需要對(duì)企業(yè)的各種內(nèi)部應(yīng)用非常了解,比如對(duì)OA、MIS、ERP等應(yīng)用的支持。因此當(dāng)初Gartner就曾提出更加綜合的應(yīng)用交付網(wǎng)絡(luò)的概念,將安全、加速、管理等集成在一起,實(shí)現(xiàn)完整的Web保護(hù)。

之前有專(zhuān)家介紹說(shuō),當(dāng)前Web應(yīng)用防火墻從全球范圍內(nèi)已經(jīng)進(jìn)入部署的高峰期,準(zhǔn)確地說(shuō)是第二波浪潮已開(kāi)始。以美國(guó)為例,它最早是在美國(guó)能源部使用,確保能源安全,之后過(guò)渡到一些普通政府部門(mén)使用,最后到紐約市的衛(wèi)生局都開(kāi)始采購(gòu)。特別是2008年P(guān)CI法案通過(guò),要求提供信用卡網(wǎng)上支付超過(guò)一定營(yíng)業(yè)額的企業(yè),都需要配置Web應(yīng)用防火墻。可以說(shuō),國(guó)外Web應(yīng)用防火墻進(jìn)入了成熟化與普及化時(shí)代。

在記者看來(lái),隨著基于Web的各種應(yīng)用高速發(fā)展,大量企業(yè)用戶和合作伙伴將會(huì)涉及到各種復(fù)雜的在線交易、數(shù)據(jù)交換,包括庫(kù)存管理、客戶關(guān)系管理。這些應(yīng)用程序通常與敏感數(shù)據(jù)資產(chǎn)相關(guān)。

在應(yīng)用Web化之前,這些應(yīng)用程序位于公司網(wǎng)絡(luò)深處,受到多層安全保護(hù)。現(xiàn)在,這些應(yīng)用被翻新成基于Web的“體驗(yàn)”,以支持更大規(guī)模的用戶或合作伙伴,也就被迫遷移至離網(wǎng)絡(luò)邊界更近的位置。

Web防御強(qiáng)調(diào)性能

謝青向記者表示,X-UTM將成為新一輪安全投資的重點(diǎn)。X-UTM已經(jīng)在Web防御性能、應(yīng)用層過(guò)濾性能以及網(wǎng)絡(luò)基礎(chǔ)性能三方面具備強(qiáng)大的技術(shù)優(yōu)勢(shì),從全球的情況看,極有可能取代傳統(tǒng)防火墻市場(chǎng)的大部分份額。而且IDC以及Gartner都頻頻對(duì)此抱以期待,因此有理由相信X-UTM在國(guó)內(nèi)的井噴潛力。

梭子魚(yú)通過(guò)收購(gòu)Netcontinum進(jìn)入到了應(yīng)用防火墻市場(chǎng),于2008年正式將應(yīng)用防火墻推向市場(chǎng),從技術(shù)角度上說(shuō),其最大的特點(diǎn)是利用策略實(shí)現(xiàn)應(yīng)用層流量的過(guò)濾。梁中鋼介紹稱,梭子魚(yú)應(yīng)用防火墻提供信息阻斷、應(yīng)用層安全防御和關(guān)鍵業(yè)務(wù)加速三大功能。

記者了解到,其中信息阻斷功能就是將應(yīng)用防火墻部署在Web服務(wù)器群的前方,并提供反向代理,也就是說(shuō),所有Web的交互信息都將被應(yīng)用防火墻攔截,在應(yīng)用防火墻中緩存,再通過(guò)掃描過(guò)濾放行無(wú)害的流量,阻斷有危險(xiǎn)的流量,加上相關(guān)的關(guān)鍵業(yè)務(wù)的策略配置,從而達(dá)到有效防御應(yīng)用層攻擊的目的。

需要注意的是,目前在金融、電信、醫(yī)療、大企業(yè)等行業(yè),用戶對(duì)多功能應(yīng)用安全網(wǎng)關(guān)非常感興趣,從功能的專(zhuān)業(yè)性而言無(wú)論是UTM、下一代安全網(wǎng)關(guān)還是Web安全網(wǎng)關(guān)都能在一定程度上滿足這些行業(yè)用戶的需求。

但作為合格的企業(yè)級(jí)多功能應(yīng)用安全網(wǎng)關(guān),除了具有全面的功能外,開(kāi)啟所有功能后的性能也是不容忽視的,也是用戶選擇多功能安全網(wǎng)關(guān)時(shí)需要多方面評(píng)測(cè)的重要指標(biāo)之一。

這就需要用戶在對(duì)各個(gè)功能模塊的實(shí)現(xiàn)技術(shù)與原理進(jìn)行深入研究以辨明安全防御和管控功能的同時(shí),也需要辨明設(shè)備架構(gòu)、操作系統(tǒng)以及掃描處理算法,甚至功能實(shí)現(xiàn)技術(shù)所帶來(lái)的性能差異。功能再全面,如果沒(méi)有良好的性能,那也只能是花架子。