華盛頓國(guó)家海港——企業(yè)的信息安全團(tuán)隊(duì)一直努力捍衛(wèi)著軟件開(kāi)發(fā)的安全，但是由于諸多原因一直在“打敗仗”。這就是為什么Gartner一位分析師認(rèn)為現(xiàn)在該是時(shí)候?qū)?zhàn)略的重點(diǎn)轉(zhuǎn)移到使用Web應(yīng)用防火墻來(lái)增強(qiáng)應(yīng)用，把它作為更為廣泛的應(yīng)用安全架構(gòu)的一部分。

在Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上，演講人Ramon Krikken直截了當(dāng)?shù)乇硎井?dāng)前企業(yè)的應(yīng)用安全狀態(tài)不妙。他是Gartner公司的研究副總裁，該公司位于康涅狄格州斯坦福市。

Krikken援引了來(lái)自WhiteHat Security有限公司的統(tǒng)計(jì)數(shù)據(jù)，該數(shù)據(jù)表明在去年一年幾乎三分之一的Web應(yīng)用容易受到SQL注入攻擊，并且超過(guò)三分之二的Web應(yīng)用有跨站點(diǎn)腳本缺陷。同樣WhiteHat Security估計(jì)銀行業(yè)將會(huì)需要400個(gè)工作日來(lái)為它們應(yīng)用中存在的90%的缺陷打補(bǔ)丁，Krikken引用該數(shù)據(jù)是因?yàn)殂y行業(yè)在為應(yīng)用安裝補(bǔ)丁方面可能還是做的最好的。

“除了這個(gè)調(diào)查以外沒(méi)有太多的研究結(jié)果，但是從眾多傳聞的證據(jù)、以及我同客戶和同事的討論來(lái)看，事實(shí)上企業(yè)的安全團(tuán)隊(duì)和開(kāi)發(fā)團(tuán)隊(duì)之間沒(méi)有建立良好的協(xié)作關(guān)系”，Krikken說(shuō)到。“搞安全的家伙們寫(xiě)完報(bào)告，然后對(duì)開(kāi)發(fā)人員說(shuō)，’這里，看看這個(gè)’。這么做似乎不太可能有益于把事情做好”。

Krikken表示對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)令人沮喪的現(xiàn)實(shí)是開(kāi)發(fā)人員們一直以來(lái)從未有動(dòng)力去解決應(yīng)用開(kāi)發(fā)安全這個(gè)問(wèn)題，除非是發(fā)生安全事故后、或是滿足合規(guī)要求才會(huì)被迫這么做。

“如果你觀察人們的考察方式：他們會(huì)根據(jù)自身是如何被考察的來(lái)做任何他們被要求做的事情，不多也不少”，Krikken說(shuō)到。“如果我是按照軟件完工的時(shí)間來(lái)考察，并且沒(méi)有人真正地從安全角度來(lái)衡量我的工作；那么我會(huì)在要求的時(shí)間點(diǎn)交付軟件，但是它有漏洞；事實(shí)就是這樣”。

最近，企業(yè)移動(dòng)應(yīng)用開(kāi)發(fā)的迅猛增長(zhǎng)只是進(jìn)一步強(qiáng)化了人們的這種心態(tài)，Krikken補(bǔ)充到。因?yàn)榇蠖鄶?shù)公司的成功不是由移動(dòng)應(yīng)用可能有多么安全來(lái)衡量的，而是根據(jù)它可以多快開(kāi)發(fā)出新版本的應(yīng)用來(lái)在線上的應(yīng)用商店里銷售。

應(yīng)用安全的挑戰(zhàn)已經(jīng)發(fā)展成通過(guò)開(kāi)發(fā)來(lái)解決也是如此的艱難。相反他鼓勵(lì)企業(yè)考慮一個(gè)備選策略，該策略較少地依賴開(kāi)發(fā)人員并且更多地將防御技術(shù)——像Web應(yīng)用防火墻（簡(jiǎn)稱WAF）、數(shù)據(jù)庫(kù)審計(jì)和保護(hù)（簡(jiǎn)稱DAP）產(chǎn)品以及XML網(wǎng)關(guān)——集成到企業(yè)的應(yīng)用架構(gòu)中。他表示像WAF這樣外件化的組件應(yīng)該配合代碼框架及平臺(tái)特色使用，以便填補(bǔ)安全功能的空白。

Krikken表示簡(jiǎn)單地從純經(jīng)濟(jì)的立場(chǎng)來(lái)看，對(duì)于許多公司來(lái)說(shuō)不斷地實(shí)施補(bǔ)丁也是一種成本過(guò)高的解決方案，特別是對(duì)于關(guān)鍵業(yè)務(wù)的系統(tǒng)上。現(xiàn)在是時(shí)候問(wèn)問(wèn)用像WAF這樣的設(shè)備是否比永無(wú)止盡的開(kāi)發(fā)、測(cè)試和實(shí)施軟件補(bǔ)丁更快、更便宜、而且同樣有效。

WAF是一種設(shè)備、或是服務(wù)器軟件附件，能夠監(jiān)控和攔截前往和來(lái)自應(yīng)用的流量。它們?cè)谠S多企業(yè)中已經(jīng)變得十分常見(jiàn)，特別是那些必須遵從支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（簡(jiǎn)稱PCI DSS）的公司。這些公司要么需要使用WAF，要么需要頻繁地審查應(yīng)用的代碼。

Krikken說(shuō)到：“通常我是最后一個(gè)給出建議的人——如果你遇到某個(gè)問(wèn)題——使用技術(shù)來(lái)解決它、或者是在它前面放置一些東西進(jìn)行過(guò)濾，因?yàn)閺拈_(kāi)始就搭建安全的應(yīng)用是不錯(cuò)的主意，但是你無(wú)法對(duì)所有的應(yīng)用都這么做”。

Krikken強(qiáng)調(diào)對(duì)于信息安全團(tuán)隊(duì)來(lái)說(shuō)，從內(nèi)部推動(dòng)安全的軟件開(kāi)發(fā)仍然十分重要，并且要鼓勵(lì)開(kāi)發(fā)團(tuán)隊(duì)盡可能頻繁地更新不安全的應(yīng)用代碼。然而，這項(xiàng)極具挑戰(zhàn)的、要贏得開(kāi)發(fā)人員“民心”的任務(wù)必須通過(guò)圍繞應(yīng)用使用額外的安全技術(shù)來(lái)輔助完成。

“越來(lái)越多的客戶開(kāi)始問(wèn)我，是否在應(yīng)用前面放置Web應(yīng)用防火墻來(lái)修補(bǔ)漏洞比起修補(bǔ)代碼更加糟糕？”Krikken表示，對(duì)于企業(yè)來(lái)說(shuō)需要更多的時(shí)間和工作來(lái)理解在他們的架構(gòu)中增加新的應(yīng)用安全技術(shù)的重要性。但是對(duì)應(yīng)用進(jìn)行防御而不是打補(bǔ)丁的概念盡管有些超前，好像更容易被人們理解和接受。他表示一些企業(yè)質(zhì)疑如此嚴(yán)重地依賴于一個(gè)WAF設(shè)備、或是類似的安全產(chǎn)品是否明智。PCI DSS認(rèn)證安全評(píng)估員（QSA）是否會(huì)容忍這種情況還不知道。

Excelon公司的峰會(huì)出席人Louis Robinson表示Krikken的方法是對(duì)的，特別是對(duì)于企業(yè)來(lái)說(shuō)要盡量權(quán)衡在哪里設(shè)計(jì)應(yīng)用的安全功能，是在應(yīng)用自身內(nèi)部還是與它并行設(shè)計(jì)。“在與開(kāi)發(fā)人員一起工作時(shí)，你不能把所有事情都依賴于代碼，特別是因?yàn)樾阅堋?rdquo;正如任何大的IT策略變化一樣，PCI DSS也要考慮。但是對(duì)于許多企業(yè)來(lái)說(shuō)這不一定是受阻的原因，因?yàn)閷?duì)于整體企業(yè)信息安全，許多人質(zhì)疑PCI DSS的效果。

盡管Krikken試圖堅(jiān)定地強(qiáng)調(diào)需要向開(kāi)發(fā)人員進(jìn)行安全“布道”，他懇請(qǐng)安全人員要理解開(kāi)發(fā)人員：即使是那些最有好意的人，永遠(yuǎn)也不會(huì)是安全專家。Krikken表示：“在內(nèi)部構(gòu)件安全這種話你已經(jīng)聽(tīng)過(guò)很多次了，這也是我一直努力的。但這是一種錯(cuò)誤的表達(dá)。開(kāi)發(fā)人員不這么做通常是因?yàn)樗麄冋J(rèn)為那意味著他們必須在應(yīng)用內(nèi)搭建所有需要的安全功能。我不想他們那樣做；我想讓他們關(guān)注他們擅長(zhǎng)的東西。”