什么是應用程序安全性?用于保護軟件的過程和工具
隨著網絡威脅變得更加強大和普遍,組織時刻檢查應用程序中的安全漏洞至關重要。
應用程序安全性是通過查找、修復和增強應用程序安全性來使應用程序更安全的過程。這大部分發生在其開發階段,但其中包括在應用程序部署后對其進行保護的一些工具和方法。隨著黑客越來越多地攻擊組織采用的應用程序,這一點變得越來越重要。
應用程序的安全性引起了很多關注。數百種工具可用于保護應用程序組合的各種元素,從鎖定編碼更改到評估無意的編碼威脅,評估加密選項以及審核權限和訪問權限。如今具有專門的工具用于移動應用程序、基于網絡的應用程序以及專門為網絡應用程序設計的防火墻。
為什么應用程序安全很重要
根據Veracode公司發布的軟件安全狀態第10卷調查報告,在該公司測試的85000個應用程序中,83%的應用程序至少有一個安全漏洞。很多應用程序擁有更多的漏洞,因為他們的研究發現這些應用程序中總共有1000萬個漏洞,20%的應用程序至少有一個很嚴重的漏洞。并非所有這些漏洞都會帶來重大的安全風險,但其數量之多令人不安。
在軟件開發過程中,組織發現并修復安全問題的速度越快,其業務就越安全。因為每個人都會犯錯誤,所以組織面臨的挑戰是及時發現這些錯誤。例如,一個常見的編碼錯誤可能允許未經驗證的輸入。這個錯誤可能會變成SQL注入攻擊,如果黑客發現之后就會導致數據泄漏。
集成到應用程序開發環境中的應用程序安全工具可以使此過程和工作流更簡單、更有效。如果組織正在進行合規性審核,這些工具也很有用,因為它們可以在審核人員看到問題之前發現問題,從而節省時間和費用。
在過去幾年中,企業應用程序的構建方式不斷變化,這推動了應用程序安全領域的快速增長。如今,IT部門需要數月時間來完善需求、構建和測試原型,并將最終產品交付給最終用戶的日子已經一去不復返了。現在這個想法似乎有些過時。
取而代之的是,組織如果采用持續部署和持續集成的新的工作方法,這些方法每天(有時是每小時)優化應用程序。這意味著安全工具必須在這個瞬息萬變的世界中工作,并迅速發現代碼問題。
調研機構Gartner公司在2018年9月發布的有關應用程序安全炒作周期報告中表示,IT管理人員需要識別常見的應用程序開發安全性錯誤,并防止常見的攻擊技術。他們提供了十幾種不同類別的產品,并描述他們在“炒作周期”中的位置。
其中許多類別仍在出現,并采用相對較新的產品。這表明,隨著威脅變得更加復雜、更加難以發現,并且對企業的網絡、數據和企業聲譽的潛在損害更加嚴重,市場正在迅速發展。
應用程序的安全工具
雖然應用安全軟件產品種類繁多,但問題的關鍵在于兩個方面:安全測試工具和應用屏蔽產品。前者擁有一個較為成熟的市場,擁有數十家知名廠商,其中一些是軟件行業的巨頭,如IBM、CA和MicroFocus。這些工具非常完善,以至于Gartner公司創建了其魔力象限,并對其重要性和成功進行了分類。諸如IT中心站之類的評論網站也已經能夠對這些供應商進行調查和排名。
Gartner公司將安全測試工具分為幾個大類,它們對于確定保護應用程序組合所需的方式很有幫助:
- 靜態測試,在開發過程中的固定點分析代碼。這對于開發人員在編寫代碼時檢查他們的代碼很有用,以確保在開發過程中引入安全性問題。
- 動態測試,它分析正在運行的代碼。這更有用,因為它可以模擬對生產系統的攻擊,并揭示使用系統組合的更復雜的攻擊模式。
- 交互式測試,結合了靜態和動態測試的元素。
- 移動測試是專門為移動環境設計的,可以檢查攻擊者如何利用移動操作系統及其上運行的所有應用程序。
查看測試工具的另一種方法是如何通過內部部署工具或通過基于SaaS的訂閱服務(在其中提交代碼進行在線分析)來交付它們。有些甚至兩者都做。
一個警告是每個測試供應商都支持的編程語言。有些將其工具限制為僅一種或兩種語言(通常Java是一個安全的選擇)。其他人更多地參與Microsoft .Net領域。集成開發環境(IDE)也是如此:某些工具可以作為這些集成開發環境(IDE)的插件或擴展來運行,因此測試代碼就像單擊按鈕一樣簡單。
另一個問題是,任何工具是與其他測試結果隔離的,還是可以將它們合并到自己的分析中。IBM公司是少數幾個可以從手工代碼審查、滲透測試、漏洞評估和競爭對手測試中導入發現的公司之一。這可能會有幫助,特別是如果企業有多個工具需要跟蹤。
此外,不要忘記應用屏蔽工具。這些工具的主要目的是加強應用程序的安全性,從而使攻擊更加困難。這是一個不太明確的地區。在這里,會發現大量小型點產品的集合,在許多情況下,這些產品的歷史和客戶群都很有限。這些產品的目標不僅是測試漏洞,還可以積極防止組織的應用程序損壞或受到破壞。它們包括幾個不同的大類:
運行時應用程序自我保護(RASP):可以將這些工具視為測試和屏蔽的組合。它們提供了防止可能的逆向工程攻擊的措施。運行時應用程序自我保護(RASP)工具會持續監視應用程序的行為,這在移動環境中非常有用,當移動環境可以重寫應用程序,在手機上運行應用程序或濫用權限將其轉變為惡意行為時,該功能尤其有用。運行時應用程序自我保護(RASP)工具可以發送警報,終止錯誤流程或在發現受到威脅時終止應用程序本身。
運行時應用程序自我保護(RASP)可能會成為許多移動開發環境中的默認設置,并作為其他移動應用程序保護工具的一部分內置。期望看到擁有可靠運行時應用程序自我保護(RASP)解決方案的軟件供應商之間有更多聯盟。
- 代碼混淆:黑客經常使用混淆方法來隱藏其惡意軟件,現在,工具使開發人員可以執行這種操作,以幫助保護其代碼免受攻擊。
- 加密和防篡改工具:這些是其他方法,可以用來阻止惡意分子獲取對代碼的了解。
- 威脅檢測工具:這些工具檢查組織的應用程序運行的環境或網絡,并對潛在威脅和濫用的信任關系進行評估。某些工具可以提供設備“指紋”,以確定手機是否已存在威脅或遭到破壞。
應用程序安全挑戰
問題是,IT技術必須確保用戶的應用程序安全。他們首先必須滿足不斷發展的安全和應用程序開發工具市場要求,但這只是切入點。
隨著越來越多的企業更深入地研究數字產品,他們的應用程序組合需求也將演變為更復雜的基礎設施,因此IT部門還必須預測業務需求。他們還必須了解如何構建和保護SaaS服務。這是一個問題,因為最近對500位IT管理人員進行的調查發現,很多人缺乏軟件設計知識。該報告指出,“首席信息官可能會發現自己處在組織高層領導地位,因為他們要對降低復雜性、保持預算,以及他們加快現代化以適應業務需求負責。”
最后,應用程序安全性的責任可能會分散到組織IT運營中的多個不同團隊中:網絡人員可能負責運行Web應用程序防火墻和其他以網絡為中心的工具,服務器工作人員可能負責運行面向端點的測試,各個開發小組可能還有其他顧慮。這使得很難提出一種可以滿足每個人需求的工具,這就是市場變得如此分散的原因。
應用程序安全性趨勢
在2019年1月,Imperva公司發布了其Web應用程序漏洞狀態。總體調查結果是肯定的。盡管Web應用程序漏洞的數量持續增長,但這種增長正在放緩。
這主要是由于物聯網漏洞的減少,2018年只報告了38個新漏洞,而2017年為112個。另一方面,API漏洞在2018年增加了24%,但不到2017年56%的增長率的一半。
根據Imperva公司的調查報告,出現更多漏洞的另一個領域是內容管理系統,尤其是Wordpress。該平臺報告的漏洞數量增加了30%。
該報告指出,盡管Drupal內容管理系統不如Wordpress流行,但由于存在兩個漏洞:Drupalgeddon2(CVE-2018-7600)和Drupalgeddon3(CVE-2018-7602)成為網絡攻擊者的主要目標。兩者都允許攻擊連接到后端數據庫,使用惡意軟件掃描并感染網絡和客戶端,或者挖掘加密貨幣。Imperva公司聲稱在2018年阻止了使用這些漏洞的超過50萬次攻擊。
Veracode公司的調查報告顯示最常見的缺陷類型是:
- 信息泄漏(64%)
- 密碼問題(62%)
- CRLF注入(61%)
- 代碼質量(56%)
- 輸入驗證不足(48%)
- 跨站點腳本(47%)
- 目錄遍歷(46%)
- 憑證管理(45%)
而這些百分比代表測試的應用程序中的普遍性。自從10年前Veracode公司開始跟蹤這些漏洞以來,上述所有漏洞的發生率都在增加。
Veracode公司研究發現的一個積極趨勢是,應用程序掃描在修復應用程序缺陷的速度和時間上有很大的不同。總體修復率(尤其是針對高嚴重性缺陷的修復率)正在提高,達56%,高于2018年的52%,嚴重性最高的漏洞修復率為75.7%。經常掃描和測試軟件的DevSecOps方法將減少修復缺陷的時間。每年掃描12次或更少的應用程序的維修時間平均為68天,而每天或更長時間的平均掃描時間將降低到19天。
