摘要：在十年未變安全，誰之責(zé)上中，我們介紹了安全領(lǐng)域的現(xiàn)狀和新的解決方案，那么究竟是什么它在應(yīng)用安全多變的今天又能帶給我們什么樣效果我們將通過何種方式才能打贏這場(chǎng)與黑客之間的攻堅(jiān)戰(zhàn)呢應(yīng)用安全行業(yè)快速發(fā)展的數(shù)十年間，出現(xiàn)了許多巨變。

在 十年未變！安全，誰之責(zé)？（上）中，我們介紹了安全領(lǐng)域的現(xiàn)狀和RASP新的解決方案，那么 RASP 究竟是什么？它在應(yīng)用安全多變 的今天又能帶給我們什么樣效果？我們將通過何種方式才能打贏這場(chǎng)與黑客之間的攻堅(jiān)戰(zhàn)呢？

應(yīng)用安全行業(yè)快速發(fā)展的數(shù)十年間，出現(xiàn)了許多巨變。我們不僅看到過能塞滿一整間屋子的電腦，那些曾經(jīng)耗費(fèi)數(shù)萬美元、運(yùn)行一次需要數(shù)周的設(shè)備，現(xiàn)在只需十多美元，幾個(gè)小時(shí)內(nèi)就能運(yùn)行完畢。AsTech 仍在為許多重要應(yīng)用進(jìn)行人為測(cè)評(píng)，但是，可喜的是，現(xiàn)在出現(xiàn)了一些能夠?qū)?shù)量龐大的應(yīng)用安全狀態(tài)進(jìn)行合理測(cè)評(píng)的工具。既然我們可以持續(xù)地監(jiān)測(cè)應(yīng)用狀態(tài)，有關(guān)應(yīng)用安全的擔(dān)憂是否可以拋之腦后了呢？

應(yīng)用監(jiān)控方面的驚人進(jìn)展卻也凸顯了應(yīng)用程序安全鏈的另一重要環(huán)節(jié)：如何修復(fù)安全漏洞？我們可以耗費(fèi)大量資金事無巨細(xì)地測(cè)試每一行軟件代碼，但是如果沒法修復(fù)檢測(cè)出來的問題，還是于事無補(bǔ)。事實(shí)上，自動(dòng)修復(fù)解決方案總是伴隨著軟件測(cè)評(píng)市場(chǎng)一同出現(xiàn)，這些解決方案正逐漸提高我們的測(cè)評(píng)能力。一直以來，WAF 都是優(yōu)秀測(cè)評(píng)修補(bǔ)程序的重要補(bǔ)充，但卻無可避免地需要極高的專業(yè)水準(zhǔn)與細(xì)粒度的優(yōu)化才能發(fā)揮最高效率。除非我們的代碼能夠自動(dòng)修復(fù)漏洞，否則，我們?cè)趹?yīng)用安全的道路上還有很長(zhǎng)的路要走。實(shí)時(shí)應(yīng)用程序安全保護(hù)（RASP）是應(yīng)用程序安全鏈中新出現(xiàn)的一環(huán)，它能將你無數(shù)的開放漏洞變?yōu)榭梢怨芾碚瓶氐男栴}。

盡管無法修補(bǔ)源碼中的安全漏洞，RASP 能夠自動(dòng)防御許多通過常見漏洞進(jìn)行的攻擊，大大地簡(jiǎn)化該問題。RASP 會(huì)被插入運(yùn)行中的應(yīng)用棧，通過修改應(yīng)用的行為，有效防止由程序漏洞而引起的攻擊。有了這種解決方案，有限的應(yīng)用安全開發(fā)資源得到了解放，轉(zhuǎn)而專注于那些只有人才能解決的問題，比如修改易受攻擊的代碼，管理修復(fù)生命周期，以及/或優(yōu)化管理 WAF 安裝配置。

總之，即便你有無限的資源，也找不到足夠的應(yīng)用安全專家解決所有問題。隨著 WAF 與 RASP 這類解決方案日臻完善，有限的人力資源可以將時(shí)間花在更感興趣的方面，而由自動(dòng)化解決方案扛起更多工作。一種切實(shí)可行的綜合解決方案，包括有效全面的自動(dòng)化部署、與開發(fā)流程的緊密集成，再由專家對(duì)關(guān)鍵應(yīng)用進(jìn)行評(píng)測(cè)與修復(fù)，終于出現(xiàn)并趕上了爆炸式成長(zhǎng)的軟件開發(fā)業(yè)。

Cigital 公司的 Steven 說除了溝通，安全培訓(xùn)是另外一個(gè)關(guān)鍵內(nèi)容?！肝覀冋衅覆⑴嘤?xùn)開發(fā)人員是因?yàn)闀r(shí)間告訴我們不這么做就不會(huì)做成事情。」他說道?！肝艺J(rèn)為當(dāng)你審視安全從業(yè)人員社區(qū)時(shí)，你會(huì)發(fā)現(xiàn)很多測(cè)試人員和安全專家都會(huì)學(xué)一些編程技術(shù)以便更好地從事自己的工作，我認(rèn)為很多這種設(shè)計(jì)——注意我說的是真正的設(shè)計(jì)決策，通過缺陷分類問題，正確的設(shè)計(jì)或解決軟件安全問題的積極辦法——我認(rèn)為這有點(diǎn)超出他們的能力范圍?！?/p>

「從業(yè)成員也有不同的類型，」他繼續(xù)說到?！肝覀兡軌驈?OWASP 社區(qū)了解這些測(cè)試專家：有些人在滲透測(cè)試擁有五年或十年的工作經(jīng)歷，這群人可能并不了解開發(fā)，也并沒有和管理層人員有過溝通交流，因此建造一直安全團(tuán)隊(duì)可能比較困難。當(dāng)他們與組織架構(gòu)師談及采用一個(gè)全新開源的結(jié)構(gòu)或庫(kù)的時(shí)候，你能夠想象到這對(duì)他們來說將會(huì)是一個(gè)不小的挑戰(zhàn)。理解鴻溝不僅僅存在于開發(fā)層面，結(jié)構(gòu)層面同樣也是如此?！?/p>

針對(duì)漏洞的培訓(xùn)和企劃同樣也是 Rogue Wave 公司的 Cope 所提供的建議?！副Ｗo(hù)自己的唯一辦法是更新至最新的補(bǔ)丁，了解最新的新聞和使用最新的辦法，并期待它們一直如此……面對(duì)所有的這些軟件，將會(huì)有更多的安全漏洞出現(xiàn)，你需要做到有備而戰(zhàn)，使用工具，準(zhǔn)備好提醒措施以便能夠快速知道問題在哪兒，是來自于開源項(xiàng)目還是另有它處，知道問題所在后有適當(dāng)?shù)木徑獯胧┮员阒滥切┑胤绞艿搅擞绊?。?/p>

「如果有一個(gè)新的 OpenSSl 補(bǔ)丁，我該怎么辦呢？我怎么知道在我的機(jī)器環(huán)境（虛擬或是物理）需要更新？以及如何操作？誰進(jìn)行該操作？整個(gè)緩和計(jì)劃必須是一個(gè)長(zhǎng)期進(jìn)行的過程?！?/p> 打正確的仗

所有人都同意只要軟件還存在，有所圖的人就定會(huì)利用它的缺陷。但并不是因?yàn)楹诳凸舻貌坏阶罱K阻止就不值得嘗試任何安全軟件。

Rogue Wave 公司的 Cope 這么說道：

「這就有點(diǎn)像達(dá)爾文主義……適者生存。如果你能快速的打好補(bǔ)丁，那么你就能夠擋回處于食物鏈最底層的黑客，也許他們由于技術(shù)陳舊仍然尋找著那些沒有及時(shí)更新打好補(bǔ)丁的機(jī)器。因此如果你正在某個(gè)公司承擔(dān)著安全任務(wù)，那么你至少要解決那些陳舊的已知漏洞問題，因?yàn)闆]有這么做的人將會(huì)是一個(gè)更容易實(shí)現(xiàn)的目標(biāo)，因此那些花了幾個(gè)小時(shí)攻擊你的站點(diǎn)的黑客在發(fā)現(xiàn)更容易的目標(biāo)后就不會(huì)繼續(xù)打擾你了。」

「很不幸，但是事實(shí)是你不是在與黑客進(jìn)行某場(chǎng)比賽，而是與那些更新沒有你迅速及時(shí)的人比賽。這就像你穿上網(wǎng)球鞋，不是為了要跑贏熊，而是為了跑贏你的朋友?！?/p>

原文地址：http://sdtimes.com/stop-fighting-yesterdays-software-security-wars/#ixzz3ujcSTpgk

如今，多樣化的攻擊手段層出不窮，傳統(tǒng)安全解決方案越來越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)，使其免受漏洞所累。想閱讀更多技術(shù)文章，請(qǐng)?jiān)L問 OneAPM 官方技術(shù)博客。
本文轉(zhuǎn)自 OneAPM 官方博客