应用程序安全专业知识:WAF服务的附加值

精明的应用程序安全解决方案提供商可以在Web应用程序防火墙(WAF)的选择、部署和管理中为客户提供额外的好处,协助客户建立有效的应用程序以及数据保护方案。

近年来,Web应用程序防火墙已经成为企业满足某些规则遵从要求(包括数据保护)所需要的工具,可是很少有企业在部署和管理WAF方面具有专业知识。因此,许多公司将依靠方案提供商,让他们协助自己实现最好的产品部属。

“整个应用程序安全策略市场仍被严重低估”,位于美国密苏里州堪萨斯市的Fishnet安全公司常务董事Mark Carney表示,“情况正在改善,但是整个安全社区并不能很快地理解应用程序防火墙所需要的操作和管理水平,以及如何才能有效地对付Web应用程序漏洞。”

即使对于那些所谓的“复选框”规则遵从部署而言,这也可能是真的,因为他们需要满足某些特定的遵从规则,比如支付卡行业数据安全标准 (PCI DSS)中的要求6.6,该规则要求用户要么部署Web应用程序防火墙,要么采用手动或自动的源代码审查或者应用程序漏洞扫描。

PCI DSS要求对Level 1商家(每年交易量超过六百万份的企业)进行审计;MasterCard最近增加了Level 2商家(每年的交易量在一百万份到六百万份之间的企业)的审计要求。经验丰富、积极的、合格的安全评估员(QSA)都希望公司能够证明他们已经安装了Web应用程序防火墙,并且正在运行。

位于美国宾夕法尼亚州梅卡尼克斯堡市的ICSA Labs公司(该公司是Verizon Business公司的独立部门,提供中立的安全产品测试和安全产品认证,其中包括WAF认证)负责WAF的经理Brian Monkman说道,“有些审计员会问,‘你们有Web应用程序防火墙吗?’然后说,‘好吧,检查一下’。但是有些审计员会问更具体的问题,而Web应用程序防火墙存在的时间越长,它们就越成熟,这些问题就越深入。”

位于美国加利福尼亚州Redmond Shores的Imperva公司首席安全战略家Brian Contos表示,企业通常需要确定用户如何与应用程序进行交互,以及应用程序可以访问哪些关键数据等。而合作伙伴所提供的预先发现(up-front discovery)功能可以当成一种WAF服务,从而确定应用程序和相关数据是否在规定的操作范围以内。

“毫无疑问,数据安全比网络安全更难管理,”Contos表示。“如果你不知道敏感数据在哪儿,就很难搞清楚用户是如何进行交互的。”

一般而言,WAF是通过最初的规则标准进行“学习”的,其中包括一段时间的测试,以便确定哪些是可接受的行为、哪些有问题,以及哪些是恶意的。

这是方案提供商的另一个机会,因为测试结果必须加以分析,并把结果报告给客户。结果分析完成之后,方案提供商可以跟客户一起合作,根据公司策略以及潜在的攻击,建立自定义规则,确定哪些行为是允许的,哪些需要警告,哪些需要阻止等。

Contos 指出,“这变成了一种顾问式关系,与只是提供技术相比大大提升了产品的附加值。”

大型的、复杂的WAF部署尤其如此。专家表示,为了能够最好地协助客户,VAR应该懂得应用程序后面隐藏的业务逻辑、应用程序是如何工作的、它的开发平台式,以及它所使用的编程语言等。

Fishnet公司的Carney表示,“我们需要了解的最重要的事情是应用程序都比较复杂。它们不像网络流量那么简单、那么容易预测。”

他指出,了解即将部署的新应用程序以及现存的应用程序是否有所变化尤其重要。客户必须经过培训,知道如何修改WAF规则来适应这些变化;或者必须与方案提供商约定好额外的服务,让他们来完成这些工作。

Carney指出,“环境越是多变,产品就越需要照顾和管理。”

在动态的环境中,方案提供商可以用Web应用程序扫描器进行渗透测试,以发现变化引起的漏洞。Monkman表示,消费者的WAF部署最好结合扫描工具或扫描服务。比如,WhiteHat Security公司基于云的应用程序扫描服务就集成了多个WAF产品。该服务(或者说产品)可以创建“虚拟补丁”,从而阻止某些特定的漏洞利用,直到问题代码被修复为止。

这对于不能离线的关键生产应用程序来说至关重要。创建和测试补丁都需要时间,尤其是当开发过程已被外包给别人时。

“你需要有人能够完全理解安全编码、Web应用程序防火墙,以及漏洞扫描器是如何工作的、应该怎样整合它们,”Monkman说道。

这种专业知识的整合非常短缺,这让方案提供商有了提供应用程序安全服务的机会,不仅仅是简单的WAF部署。

“为应用程序,尤其是为动态的应用程序设计安全特性,你最好有一个合作伙伴,”Contos指出,“随着网络安全日益商品化,我认为这个领域将来会有很大的增长。”