在持续前行的企业(或机构)的IT安全征途上,Web应用安全仍是一个比较新的关注领域,并没有得到充分的认识,甚至有许多业内人士对这个问题也是一知半解。但不幸的是,黑客们对此却是了如指掌。
十余年来,借助防火墙、IDS/IPS、防毒软件、反垃圾邮件、反间谍软件、VPN、身份验证及访问控制等手段,整个行业已在网络和基础设施的保护方面形成了一套颇为主流的安全标准。
然而,黑客攻击所利用的最新、最有针对性的切入点正是web会话或web服务。最近的调查结果显示:大部分web站点都非常容易遭受攻击,而大多数攻击直指机构的web应用。
两年前,像“跨站脚本”和“SQL注入”这样的攻击还并不被大众所知,而如今,这两种专门针对web应用(HTML/HTTP、XML/SOAP)的攻击已被列入了五大最常用的黑客技术名单。
在世界范围内,人们的工作、休闲、信息和通信(互联网银行、SCM/CRM/ERP内联网以及外联网门户、会员服务、航班与酒店预订、政府部门电子服务、影票预定和其它零售服务,此外还包括流行的社交网络站点)都越来越依赖web服务,而web应用日益广泛,复杂性也越来越高,这都为黑客攻击提供了土壤。Web2.0的出现也并没有在简化安全部署方面提供任何便利。
许多国际性合规要求中都明确声明:第三方数据(属于客户、患者、会员、帐户所有者或学生等所有)应当受到保护,这无疑使机构承担了更多额外的安全责任。PCI、ISO-27001、Sarbanes-Oxley、Basel II等标准都直接或间接指出了对应用程序的质量与安全性进行审核的必要性,并保证以某种规定形式编写代码,以免增加应用的安全隐患,从而防范黑客侵入基础设施并窃取敏感信息。
应用开发人员一般都未接受过安全方面的培训,而安全专家往往又不具备(或具备很少的)编程经验。最糟的是,在web服务方面,目前还没有任何有效的外部防御手段——防火墙与其它网络、基础设施的IP流量防御不但无法有效防范“被滥用的”HTML(端口80)流量,甚至还会将其视为“合法”流量。
确保web应用安全的最好办法就是保证代码质量,尽可能消除那些可能被黑客利用的安全隐患。
解决方案:
机构需要的是一种能够识别和保护应用的自动化解决方案,因为即使具备了相关的知识技能和web应用安全保障,利用人工对一个包含上千行代码的程序进行质量检查,来消除可能被黑客利用的安全隐患将是一项相当艰巨的工作。
IBM Rational AppScan能够识别、验证和报告应用中的安全隐患,新版本(2007年11月发布)中还为安全审核人员加入了许多全新特性与报告方式,能够使更多的IT相关人员参与和执行关键web应用安全测试。
以往的测试人员、开发人员和IT专家普遍缺少专门的安全知识,无法完成与安全相关的扫描工作。IBM Rational AppScan的多项新特性使这一关键功能的可用性得到了提升,借此,IT人员、软件开发人员和测试人员能够在成功完成扫描的同时添加各种全新特性,为安全专家提供更多协助。
现在,企业使用的关键应用常达数百个之多,这些应用需要及时地进行测试。通过集成安全性与质量管理测试工具,我们可以有效简化整个软件生命周期内的安全测试与修复工作。IBM还为其IBM Rational软件产品组合注入了全新的增强特性,使用户能够更轻松的开发出质量更高、扩展性更好的应用。
最重要的是,IBM Rational AppScan为开发人员提供了完善的辅导与培训信息,帮助他们改正程序中的漏洞,以此来最大限度地降低黑客对应用的入侵与破坏能力,从而打造出强大而安全的web应用。
该解决方案能够测试所有的web应用语言,包括ASP、J2EE、PHP、AJAX、Python等。
随着新合规法规的迅速出台,IBM Rational AppScan将帮助更多的机构遵守众多的行业标准,其更新后将会新增44个业内领先的即用合规报告,其中包括《家庭教育权与隐私法》(FERPA)以及由信用卡行业推荐的支付软件最佳实践(PABP)。
