提问:在努力倡导软件实施开发安全最佳做法的过程中,我遇到了一个障碍:我的高级开发经理表示,我们已经部署了Web应用防火墙(WAF),它完全能够发现所有开发人员遗漏的Web应用安全漏洞。你能为我提供一些很好的反驳意见,来向他说明我们不能简单地依靠WAF来防止糟糕的编码吗? 你的经理可能是看了PCI数据安全标准(PCI DSS)6.6要求,该要求为企业提供了两种选择来保护Web应用程序抵御已知攻击,第一种是检查所有在企业内部开发的web应用代码,第二种是在web应用和客户端之间安装Web应用防火墙。你应该告诉他,该法规的补充信息中提到,“恰当地部署这两种方法能够提供最佳的多层防御”。在现代威胁……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
提问:在努力倡导软件实施开发安全最佳做法的过程中,我遇到了一个障碍:我的高级开发经理表示,我们已经部署了Web应用防火墙(WAF),它完全能够发现所有开发人员遗漏的Web应用安全漏洞。你能为我提供一些很好的反驳意见,来向他说明我们不能简单地依靠WAF来防止糟糕的编码吗?
你的经理可能是看了PCI数据安全标准(PCI DSS)6.6要求,该要求为企业提供了两种选择来保护Web应用程序抵御已知攻击,第一种是检查所有在企业内部开发的web应用代码,第二种是在web应用和客户端之间安装Web应用防火墙。你应该告诉他,该法规的补充信息中提到,“恰当地部署这两种方法能够提供最佳的多层防御”。在现代威胁环境中,我们完全有必要同时部署WAF以及分配资源和时间来改善软件开发安全。
虽然WAF提供了一条重要的防线来防御已知攻击和一些未知攻击,但没有哪个单一的技术能够“包治百病”。例如,WAF不能帮助企业避免应用逻辑错误,然而,对于运行很多动态代码的复杂Web 2.0应用,或者底层网络和操作系统级漏洞,这是很容易出现的错误。但它还有后续成本。WAF具有广泛的日志记录功能,管理员需要登录分析仪来利用这些日志信息。
这正是安全编码和编码审查发挥价值的地方。通过在代码水平解决问题,不仅降低了任何与安全有关的设计和编码缺陷的数量和严重程度,而且显著提高了整体应用安全性。虽然未来的代码修订版仍然需要审查,但采用安全开发做法开发的应用不需要与那些完全依赖于防火墙保护的应用一样持续维护。
在这种情况下,也许最好的反驳是:微软在推出其安全开发生命周期(SDL)后,显著提高了其产品安全性。SDL为整个软件行业制定了标准,很多其他公司(包括思科和Adobe)都采用SDL或者基于SDL建立起安全开发的做法。我们可以从很多方面感受到微软取得的成功,比如在推出产品一年后产品中发现的漏洞数量的变化。在Windows Vista(Vista是第一个使用SDL开发的微软操作系统)推出一年后,与未采用SDL的Windows XP的漏洞相比要少了45%;SQL Server 2005比未采用SDL的SQL Server 2000的漏洞相比要少91%。
在部署更好的内部软件开发安全最佳做法后,企业不需要完全依赖WAF来成功阻止针对其应用的攻击。从安全的角度进行编码让应用更加强大,这降低了攻击面,并提高了抵御攻击的能力。WAF永远无法防止每一个漏洞被攻击者利用,而对于攻击者而言,编码漏洞更少的应用不再那么有吸引力。
如果你的经理仍然不相信,那么,能够很好地说明需要安全应用开发的方法就是:攻击你们自己的应用。最安全的演示方法是在虚拟实验室运行应用,使用Metasploit等工具来攻击它。当发现一个漏洞时,概念证明可用于显示攻击者如何建立一个反向shell或者其他后门来进入应用和运行应用的系统。这将清楚地展示你的应用中的漏洞将如何被利用,而防火墙根本无法阻止这一切。
作者
翻译
相关推荐
-
绿盟科技四款产品入围电信集采
在2014年中国电信集团的集采中,绿盟科技4款产品:ADS、IPS、FW、WAF均表现优异,全部入围!这是中国电信集团对绿盟科技产品的认可,也证实了绿盟科技在安全行业领军者的地位。
-
绿盟科技Web应用防火墙持续领跑大中华区市场
Frost&Sullivan发布的《2013年亚太区Web应用防火墙市场报告》指出,绿盟科技作为亚太区第四大WAF厂商,其Web应用防火墙在2013年稳健增长,以25.9%的市场占有率持续领导大中华区WAF市场。
-
“智慧网络 立体安全”:网康科技构建立体安全解决方案
网康科技今年相继推出了WAF、WOG产品,加上传统的ICG、ASG、ATM,构建起了一整套关注网络可用性、边界安全、内网安全、应用安全及行为安全的立体安全解决方案。
-
Radware Web应用防火墙AppWall®荣获ICSA实验室认证
Radware公司宣布Radware Web应用防火墙(WAF)产品AppWall®已正式通过国际权威认证机构ICSA实验室的严格测试与认证。