微軟為軟件開發(fā)流程植入安全基因

信息泄露、惡意攻擊并非都由病毒和木馬引起,造成風(fēng)險的原因還有系統(tǒng)漏洞和第三方應(yīng)用軟件漏洞。

第三方應(yīng)用不安全

微軟在今年4月8日發(fā)布了第六期《微軟安全研究報告》。該報告顯示,隨著軟件公司改善了操作系統(tǒng)的安全性,目前第三方應(yīng)用軟件已成為惡意軟件的主要攻擊目標(biāo),2008年下半年發(fā)現(xiàn)的漏洞中有90%涉及到應(yīng)用軟件。

微軟公司大中華區(qū)戰(zhàn)略安全架構(gòu)師裔云天說,如今,在具有一定規(guī)模的企業(yè)的IT環(huán)境里往往存在著少則上百個,多則上千個大大小小的業(yè)務(wù)應(yīng)用,小到支持幾個人的小規(guī)模團(tuán)隊(duì)的協(xié)同應(yīng)用,大到貫穿于一個企業(yè)生產(chǎn)、經(jīng)營、管理全過程的企業(yè)級應(yīng)用。隨著軟件公司改善了操作系統(tǒng)的安全性,攻擊者已經(jīng)把目光轉(zhuǎn)向應(yīng)用層面。降低信息技術(shù)給企業(yè)帶來的各種安全風(fēng)險,無疑已成為當(dāng)今所有企業(yè)面臨的新挑戰(zhàn)。

報告中顯示,在最近四年里出現(xiàn)的安全漏洞中,全球排名前五大IT廠商,包括微軟、IBM、思科、甲骨文和蘋果在內(nèi),總共的系統(tǒng)漏洞只占了所有漏洞的14%,而其他的占了86%。在2008年出現(xiàn)的所有安全漏洞中,對Windows XP有影響的漏洞占41%左右,而影響Windows Vista的只占了5.5%,也就是說從安全角度來看,Windows Vista的安全性遠(yuǎn)遠(yuǎn)超過了Windows XP。換句話說,在即將面世的Windows 7中,安全性會更高。

從近幾年發(fā)現(xiàn)的漏洞狀況來看,基本上90%的第三方應(yīng)用軟件漏洞都可以被黑客用來發(fā)起遠(yuǎn)程攻擊。也就是說,如果某個存在漏洞的電腦接入互聯(lián)網(wǎng),一個黑客可以從全世界任何一個國家對它發(fā)起攻擊,或者偷取數(shù)據(jù),或者對它進(jìn)行控制。

裔云天解釋說,這是因?yàn)榈谌杰浖_發(fā)商沒有把安全問題考慮進(jìn)去,更多的是考慮軟件的功能性,所以漏洞百出。

在微軟安全博客中,微軟大中華區(qū)安全組成員表示,企業(yè)信息安全的涵蓋面非常廣,涉及到人員、流程和技術(shù)等諸多方面的因素。正因?yàn)槿绱?一方面,信息安全越來越受到廣泛的關(guān)注,并且企業(yè)在信息安全方面的投入不斷增加,而另一方面,各種給企業(yè)造成負(fù)面影響的安全事件卻層出不窮。單純的技術(shù)手段往往無法幫助企業(yè)徹底消除存在的諸多安全問題,只有建立起一整套安全策略和流程,通過合理地資源配置并且充分利用各種技術(shù)和非技術(shù)手段,企業(yè)才有可能更加有效地管理各類安全風(fēng)險。

改進(jìn)軟件開發(fā)流程

從前“尋找安全漏洞”的做法并不能真正保證應(yīng)用的安全性。裔云天認(rèn)為,企業(yè)有必要改進(jìn)軟件開發(fā)流程,做到在應(yīng)用開發(fā)的整個過程中自始至終地關(guān)注應(yīng)用安全。保證和提高應(yīng)用安全性的最佳時機(jī)是在應(yīng)用的開發(fā)階段。

微軟可信賴安全部門通過多年來在安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn),創(chuàng)建了一整套安全開發(fā)流程,即信息技術(shù)安全開發(fā)生命周期流程(Secure Development Lifecycle for Information Technology,縮寫為SDL)。該流程包含一系列的最佳實(shí)踐和工具,多年以來不僅被用于微軟內(nèi)部業(yè)務(wù)應(yīng)用的開發(fā)過程中,而且也被成功地應(yīng)用在許多微軟客戶的開發(fā)項(xiàng)目中。

安全開發(fā)生命周期有兩個目標(biāo):一是縮減與安全性有關(guān)的設(shè)計缺失與程序碼缺陷錯誤,二是降低未完全解決的缺陷錯誤的嚴(yán)重程度。

記者了解到,SDL流程涵蓋了軟件開發(fā)生命周期的整個過程。目的是通過在軟件開發(fā)生命周期的每個階段執(zhí)行必要的安全控制或任務(wù),保證應(yīng)用安全最佳實(shí)踐得以很好地應(yīng)用。SDL強(qiáng)調(diào)在業(yè)務(wù)應(yīng)用的開發(fā)和部署過程中對應(yīng)用安全給予充分的關(guān)注,通過預(yù)防、檢測和監(jiān)控措施相結(jié)合的方式,降低應(yīng)用安全開發(fā)和維護(hù)的總成本。

SDL流程的第一步首先是對所要開發(fā)的應(yīng)用程序進(jìn)行安全風(fēng)險評估,接下來SDL-IT流程要求為應(yīng)用建立安全威脅模型。在應(yīng)用程序投產(chǎn)前,微軟要求由獨(dú)立的安全團(tuán)隊(duì)對應(yīng)用程序的安全性進(jìn)行綜合評估。主要內(nèi)容包括對應(yīng)用進(jìn)行代碼安全審核(即白盒安全測試)以及對應(yīng)用程序的部署及環(huán)境進(jìn)行安全審核。

雖然SDL會在一定程度和一定階段增加應(yīng)用開發(fā)的成本,但是卻可以有效地幫助企業(yè)提高開發(fā)、部署和投產(chǎn)的應(yīng)用的安全性和質(zhì)量。SDL以往只是在微軟內(nèi)部使用,用來保證操作系統(tǒng)的安全性。從去年下半年開始到現(xiàn)在,國外已經(jīng)有十余家企業(yè)開始采用SDL對應(yīng)用軟件進(jìn)行開發(fā)和評估。

傳統(tǒng)防火墻無法應(yīng)付Web威脅

■ 本報記者那罡

Gartner統(tǒng)計,目前75%的攻擊已經(jīng)轉(zhuǎn)移到應(yīng)用層,企業(yè)的網(wǎng)站不斷遭到攻擊,原有的防火墻已經(jīng)不能滿足企業(yè)對網(wǎng)絡(luò)攻擊的防御。這是因?yàn)閼?yīng)用層面非常廣,比如說Web應(yīng)用、郵件應(yīng)用、中間件應(yīng)用等,應(yīng)用在不斷增多,導(dǎo)致現(xiàn)在很多攻擊在應(yīng)用層,用戶原有的防火墻或是IPS不能進(jìn)行全面的防御了。

Web威脅在加劇

當(dāng)前全球安全漏洞的發(fā)現(xiàn)速度在快速上升,Web威脅也在加劇。同樣,利用這些漏洞所進(jìn)行攻擊的數(shù)量也在上升,這些攻擊所采用的技術(shù)也更加先進(jìn)。對于中國的IT管理員來說,他們既要保護(hù)好關(guān)鍵數(shù)據(jù),又要使網(wǎng)絡(luò)性能滿足要求。因此,發(fā)現(xiàn)并且解決這些漏洞正在快速變?yōu)橐豁?xiàng)艱巨的任務(wù)。

Fortinet全球總裁謝青認(rèn)為,安全廠商需要對企業(yè)的各種內(nèi)部應(yīng)用非常了解,比如對OA、MIS、ERP等應(yīng)用的支持。因此當(dāng)初Gartner就曾提出更加綜合的應(yīng)用交付網(wǎng)絡(luò)的概念,將安全、加速、管理等集成在一起,實(shí)現(xiàn)完整的Web保護(hù)。

之前有專家介紹說,當(dāng)前Web應(yīng)用防火墻從全球范圍內(nèi)已經(jīng)進(jìn)入部署的高峰期,準(zhǔn)確地說是第二波浪潮已開始。以美國為例,它最早是在美國能源部使用,確保能源安全,之后過渡到一些普通政府部門使用,最后到紐約市的衛(wèi)生局都開始采購。特別是2008年P(guān)CI法案通過,要求提供信用卡網(wǎng)上支付超過一定營業(yè)額的企業(yè),都需要配置Web應(yīng)用防火墻?？梢哉f,國外Web應(yīng)用防火墻進(jìn)入了成熟化與普及化時代。

在記者看來,隨著基于Web的各種應(yīng)用高速發(fā)展,大量企業(yè)用戶和合作伙伴將會涉及到各種復(fù)雜的在線交易、數(shù)據(jù)交換,包括庫存管理、客戶關(guān)系管理。這些應(yīng)用程序通常與敏感數(shù)據(jù)資產(chǎn)相關(guān)。

在應(yīng)用Web化之前,這些應(yīng)用程序位于公司網(wǎng)絡(luò)深處,受到多層安全保護(hù)?，F(xiàn)在,這些應(yīng)用被翻新成基于Web的“體驗(yàn)”,以支持更大規(guī)模的用戶或合作伙伴,也就被迫遷移至離網(wǎng)絡(luò)邊界更近的位置。

Web防御強(qiáng)調(diào)性能

謝青向記者表示,X-UTM將成為新一輪安全投資的重點(diǎn)。X-UTM已經(jīng)在Web防御性能、應(yīng)用層過濾性能以及網(wǎng)絡(luò)基礎(chǔ)性能三方面具備強(qiáng)大的技術(shù)優(yōu)勢,從全球的情況看,極有可能取代傳統(tǒng)防火墻市場的大部分份額。而且IDC以及Gartner都頻頻對此抱以期待,因此有理由相信X-UTM在國內(nèi)的井噴潛力。

梭子魚通過收購Netcontinum進(jìn)入到了應(yīng)用防火墻市場,于2008年正式將應(yīng)用防火墻推向市場,從技術(shù)角度上說,其最大的特點(diǎn)是利用策略實(shí)現(xiàn)應(yīng)用層流量的過濾。梁中鋼介紹稱,梭子魚應(yīng)用防火墻提供信息阻斷、應(yīng)用層安全防御和關(guān)鍵業(yè)務(wù)加速三大功能。

記者了解到,其中信息阻斷功能就是將應(yīng)用防火墻部署在Web服務(wù)器群的前方,并提供反向代理,也就是說,所有Web的交互信息都將被應(yīng)用防火墻攔截,在應(yīng)用防火墻中緩存,再通過掃描過濾放行無害的流量,阻斷有危險的流量,加上相關(guān)的關(guān)鍵業(yè)務(wù)的策略配置,從而達(dá)到有效防御應(yīng)用層攻擊的目的。

需要注意的是,目前在金融、電信、醫(yī)療、大企業(yè)等行業(yè),用戶對多功能應(yīng)用安全網(wǎng)關(guān)非常感興趣,從功能的專業(yè)性而言無論是UTM、下一代安全網(wǎng)關(guān)還是Web安全網(wǎng)關(guān)都能在一定程度上滿足這些行業(yè)用戶的需求。

但作為合格的企業(yè)級多功能應(yīng)用安全網(wǎng)關(guān),除了具有全面的功能外,開啟所有功能后的性能也是不容忽視的,也是用戶選擇多功能安全網(wǎng)關(guān)時需要多方面評測的重要指標(biāo)之一。

這就需要用戶在對各個功能模塊的實(shí)現(xiàn)技術(shù)與原理進(jìn)行深入研究以辨明安全防御和管控功能的同時,也需要辨明設(shè)備架構(gòu)、操作系統(tǒng)以及掃描處理算法,甚至功能實(shí)現(xiàn)技術(shù)所帶來的性能差異。功能再全面,如果沒有良好的性能,那也只能是花架子。