当你与OWASP成员讨论的时候,他们都认同这样一个观点:应用安全还有十年就发展成型了,特别是在政府层面上。
该组织定期举办这类会议为的是能够转变趋势,包括11月10日至13日期间在该国首都举办的2009 OWASP应用安全大会(AppSec DC)。我们有幸与OWASP成员Matt Fisher取得了联系,同时他也是Piscis安全公司的CEO兼AppSec参与公司之一,我们将与他来一起探讨今天的应用安全的问题所在,以及扭转这一局面的六个方法。我们首先先为大家呈现一些问答,随后会告诉大家这六个做法。
问:关于使用Web2.0企业较大的问题在哪以及较大的安全威胁是什么?
答:是的,“Web2.0”的形式其实与“云计算”差不多。其中较大的挑战就是我们如何对二者进行定义。“Web2.0”会涉及到编程技术,会导致浏览器插件的增多,以及与富网络应用相关的客户端技术本身已经越来越多的成为漏洞的共享者。同样,也会涉及到应用的合作和了解,例如内部WiKi和博客。其中的危机(特别是在WiKi上)是你几乎不能对用户生成的内容有任何控制权。如果这样的WIKI对于整个公司的人都开放的话,那么你就会看到公司里面的任何一个人的做法,看到他们在发送机密和不合适的内容。现在,如果提到“Web2.0”,首先意味着社交网络应用,然后威胁就随着而来了。你会发现,尽管你知道这些应用在过去很长时间都以“不安全”著称,并且因蠕虫等不好的问题而臭名昭著,但是这些应用在破坏你的在线名誉上都有很大的潜力。
问:一些OWASP成员认为政府的应用安全还有十年就会发展成熟了。请您谈论一下,为什么某种意义上来说联邦政府需要更加了解Web2.0,与私营部门相比,其危险的独特性在哪里?
答:我认为在理解上较重要的是,来自政府的信息是必须被信任的,因为一个新兴的Web应用日渐流行并不意味着对于所有的政府用途是合适的媒介。从网络安全的角度来看,这些应用的托管本质就意味着挑战。人们通过这些应用来交换部门或机构的信息,不能用常见的安全程序管理这些应用。除了密码以外你没有其他的方式来控制系统,简言之就是你甚至不知道密码是否被保存完好。你没有托管数据中心,完全不能控制操作系统的安全、应用安全、网络防御,不能做出及时的回应,你不能进行任何辩论。这就是零控制。
当然,理论上讲这种风险是很低的,因为无论如何这些应用都是通过大众传播的。我较近读到了一个关于这个主题的分析,当讨论威胁的时候,他提到一些东西会起到影响的作用,但是完整性起到的作用并不大,因为这是一个公共的系统,但是我不太同意他的观点。如果你像美国政府一样正在使用这样的网站来进行信息的交流的话,那么这些信息的完整性是极为重要的。对手在其中一个应用中找到漏洞是完全有可能的。你只能在恰当的时候在错误信息方面使用它,或者在进行一场心理战役的时候使用它。想象一下,所有的人从不同的机构获取信息到他们的手机上。现在想象一下,在一场国家灾难中这些信息突然变成虚假信息。
问:让我们回过头来看私营部门。政府的安全漏洞对小型的企业会形成很不好的影响,反过来也一样。能否给我们列举一两个Web2.0在这方面的例子。
答:对于政府来说他们与很多行业都有着合作的关系,能够对他们进行支持,往往与这些部门和机构有着错综复杂的关系,有很多过去的违规例子都说明承包商让客户面临危险。当然这些可以像其他的外部环境一样也存在于Web2.0世界。
问:现在我们已经明确了应用安全所面临的问题,能否给我们一些公共和私营部门可以用于应用安全改善现状的做法。
答:可以遵守以下6和步骤:
1、建立一个团队。联邦政府等大型企业更易于受筒仓效应的影响。而一个管理良好的简单的内部站点可以出奇地利用整个企业的专业知识。
2、让更多的人学习专业知识。现在大多数应用安全的知识都存在于安全小组中。这在开始是好的,但是较终会员工也需要建立程序或者修复应用程序;所以,你需要也让专家来教员工怎么做。
3、在利用工具之前先思考问题。工具确实可以自动化地完成一些任务,但是要知道它们只是协助你来完成评估的工作。即使这样,评估也只是计划的一部分。
4、提供指导。软件开发者想开发出安全并且兼容的软件;他们根本不知道怎么做。要让标准、需求和参考模型适用于你的程序。
5、立即开始测试。在发布之前,那些周期比较晚的测试有很大的压力,要尽量在周期比较早的时候开始测试,并让你的评估团队参与软件的开发。
6、尽量多进行持续的检测。应用程序的一个细小的变化可能造成巨大的漏洞。认真审查应用程序的细微变化,特别是面向互联网或其他高风险的系统。
