Web应用面临的IT安全风险与危机
孙政豪
背景
威胁
防护
目录
1、Web的作用
2、Web安全的意义
3、Web安全的现状
Web丰富了我们的生活
网上购物 博客论坛
网银缴费 吃喝玩乐
Web的作用
电商
• 电商平台如果被不法分子攻破,平台的交易信息就会被不法分
子利用,对平台自身和用户带来一定的影响
网金
• 互联网金融直接涉及到金钱,如果被不法分子攻陷,会直接导
致金钱的损失。
网乐
• 吃喝玩乐平台是与我们的行为习惯强相关的,如果黑客拿到了
我们的行为习惯,可以利用它来进一步获取更多的东西
Web安全对用户或者平台都是很有必要的
Web安全的意义
超过80%的攻击发生在应用层
多样化的攻击越来越难以防御
Web系统开发商在安全领域投入少
Web安全的现状
1、Web常用的攻击方式
2、OWASP Top 10
Web常用的攻击方式
资料来源:IBM X-Force®研究与发展
主流的Web攻击方法
OWASP Top 10
1、常见的防护方法
2、Web应用防火墙
3、运行时应用自我防护
• 分层次防御
• 提高攻击者被检测到的概率
• 降低攻击者成功得手的几率
常见的防护方法
• 设计
• 1.设计安全架构
和指导方案。
• 2.形成安全且有
效的规范完档
• 漏洞模型
• 标准、检验、工
具
• 1.遵从安全编码
规范
• 2.使用安全扫面
工具(fuzzing
tools, static-
analysis tools,
etc)
• 安全性推动
• 代码reviews
• 安全性测试
• 主流漏洞监测
• 达到预期准则
• 安全性把控
• 安全团队的检测
• 完整的测试验证
• 遵守安全准则
• RTM 和部署
• 安全响应
• 规范反馈响应
机制
• 实时处理反馈
• 反思
• 产品研发初期
• 安全顾问规划
• 规划安全里程碑
• 安全元素集成入
产品
需求 设计 实现 验证 发布 响应
安全软件的开发生命周期-SSDLC
安全领域的指导
人才少见
缺乏安全且有效的流程
指导文档
研发团队往往很少
考虑安全因素
Web应用防火墙(WAF)是部署在Web服务器的入口,检测所有进入服务
器的报文通过正则表达式的方式匹配报文的特征字段,来判断是否为攻击。
Web应用防火墙
实时应用自我保护技术(Runtime Application Self-Protection)也称RASP技术,是
2014年9月Gartner的调研员Feiman提出的一种全新概念。
他指出,网络的边界逐渐在消失,同时诸如WAF这类的“边界保护”技术也无法深入应用
内部,对应用的逻辑数据流理解不全面,由此带来的误杀率高的现象时有发生。
RASP, 运行时应用自我防护
◦程序完成的太久远,找不到源代码
◦漏洞数量太多
◦缺少安全专家去推动SSDLC
◦ 开发团队缺乏安全经验
◦ 第三方供应商的漏洞修复周期长
◦系统中存在未知的漏洞
所以,你需要使用RASP产品打虚拟补丁,来保护你的应用程序
为什么需要 RASP 技术
OneRASP SaaS的控制台
该代理安装在应用程序服务器作为实时威胁
智能筛选器
所有应用程序的实时访问首先都要经
过OneRASP的安全检查
Happy Security Admin
OneRASP
成功阻止攻击
RASP 请求示例图
防火墙/入侵防御系统/ Web应用防护系统
Request
应用服务器
JVM
应用程序
所有的实时分析
和预防由
OneRASP完成
实时威胁
情报分析
OneRASP
agent
Request
RASP技术不同与传统的WAF,它像一剂疫苗注入到应用中,与应用一起运行,
对外提供服务。
结合应用的逻辑和数据流,在运行时对访问应用的代码进行检测,当某种请求
与预设置的规则集相匹配时,即可实现攻击的实时阻断,对于已知漏洞来讲,
相当于为其打了虚拟补丁,起到补偿控制(没有真正的修复漏洞,却起到了修
复漏洞后的效果)的作用,这样研发人员也可以根据自己的时间和精力对漏洞
进行修补。
但是由于RASP技术是一项全新的概念,且对技术的要求很高,目前国内外真正
做这个方面的公司极少。