隨著云計算、大數(shù)據(jù)、移動計算的迅速發(fā)展，一系列新的安全挑戰(zhàn)也隨之而來。據(jù)了解，過去四年，網(wǎng)絡(luò)犯罪所造成的損失金額平均增加了78%，使得行業(yè)不得不嚴(yán)格防范那些高速、多變和善于協(xié)作的攻擊者。

要化解這些與日俱增的威脅，安全專業(yè)人士必須收集情報，確認(rèn)其關(guān)聯(lián)性，而后利用這些情報構(gòu)建一個能預(yù)警、抵御或緩解攻擊的主動防御體系。

惠普企業(yè)安全產(chǎn)品北亞區(qū)總經(jīng)理姚翔表示，造成這一狀況的原因并非由于大家對安全的重視、投入不夠，而是新的技術(shù)使安全形勢變得越來越復(fù)雜。

特別需要注意的是，超過80%的安全事故都發(fā)生在應(yīng)用層，已投產(chǎn)的應(yīng)用需要從內(nèi)到外進行實時保護和修復(fù)。

對于應(yīng)用開發(fā)來說，姚翔也給出了自己的建議，他認(rèn)為在整個產(chǎn)品應(yīng)用的開發(fā)周期上，應(yīng)該在驗收的環(huán)節(jié)加入代碼掃描，并以此作為整個驗收的最后一步，這是最徹底的對應(yīng)用安全的防護措施，“據(jù)數(shù)據(jù)統(tǒng)計顯示，最后應(yīng)用上線時發(fā)現(xiàn)漏洞所付出的成本是應(yīng)用上線前的30倍，所以如果我們有這樣的意識就要把安全防護做在前面?！?/p>

據(jù)了解，為應(yīng)對新威脅和現(xiàn)有威脅，企業(yè)更改代碼或采用邊界防御等傳統(tǒng)方式盡管非常重要，但往往需要花費數(shù)周、甚至數(shù)月才能全面部署。

對此，應(yīng)用開發(fā)商們十分矛盾，因為他們需要快速交付給用戶應(yīng)用以贏得市場，但如果在應(yīng)用上線前完成掃描，可能會延誤上線時間。

姚翔認(rèn)為，這就好比大家裝修完了需要做環(huán)境檢測一樣，以前關(guān)注的人很少，很多客戶裝修完了房子直接就搬進去了，不做甲醛檢測，這就像忽略安全漏洞掃描，其實安全隱患會非常大。

為了在應(yīng)用程序?qū)颖M量降低風(fēng)險，惠普推出了HP Application Defender，姚翔介紹，這是首個能夠為幾乎所有軟件漏洞打補丁、對生產(chǎn)型應(yīng)用進行自我保護的云安全服務(wù)，并且具有以下特點：

第一，簡潔性，通過該產(chǎn)品界面，可以輕松監(jiān)測到目前應(yīng)用部署的狀況以及它所面臨的威脅；

第二，可視化，當(dāng)應(yīng)用遭遇可疑攻擊的時候，其會生成報表，從而幫助安全人員根據(jù)上下文來進行判斷。

同時，利用Runtime Application Self-Protection （RASP）技術(shù)，HP可以幫助IT專業(yè)人士監(jiān)控運行環(huán)境中的應(yīng)用活動，從而識別并阻止攻擊。這有助于防御常見的軟件應(yīng)用程序漏洞，其中包括SQL注入、跨站點腳本和未經(jīng)授權(quán)的訪問等。（張貝貝）endprint