“諾曼底”也好�,“短板”也好,真的現(xiàn)實存在嗎���?作為信息安全權威專業(yè)人士,何迪生告訴我:不僅存在���,而且用戶意識非常薄弱�,不經意之間,用戶的門戶洞開����。
沒有出事情,要么是運氣好�����,要么就是事情已經出了���,還沒有意識到�����。在國內����,今年4月���,某電商用戶數(shù)據(jù)泄露�,一夜之間����,股票市值蒸發(fā)了8.6%����,給品牌帶來了難以挽回的影響�����。Gartner的數(shù)據(jù)報告顯示����,如今有超過80%的攻擊都發(fā)生在應用層����,如何防護應用層安全成為現(xiàn)階段的首要任務之一。
劍指“應用安全”
應該說�����,何迪生先生輝煌的履歷是促成采訪并形成本文的原因����。他在北美工作12年,后來又負責微軟安全業(yè)務11年�。2000~2011年,擔任微軟香港區(qū)首席安全官�����,管理2.5億美元微軟信息安全及核心技術架構業(yè)務開發(fā),管理過香港賽馬會 e-Betting 及 匯豐銀行的科技項目��,以及2008年北京奧運會城市運行指揮平臺安全顧問�����,WTO第六次部長會議首席安全咨詢師���。
當問到為什么會選擇OneAPM這家剛剛在新三板上市的公司時���,何迪生說到:將下一代應用層安全在國內落地是我們共同的目標。
何迪生還指出:棱鏡門之后�����,信息安全已上升到了國家戰(zhàn)略高度��。為此�����,政府投入巨資保障信息安全���。但這些投入主要集中在網絡層���,主機層的防護上�����,諸如我們所熟知的防火墻、IDS/IPS���、AV���、主機加固及補丁管理等。
與網絡層和主機層安全相比���,如今更多的入侵者已經開始轉移戰(zhàn)場���,選擇應用層為突破口。SQL注入�、跨站腳本攻擊 (XSS)、跨站請求偽造(Cross-site request forgery )都是黑客經常采用的攻擊方式����,他們通過SQL注入的方式��,盜取大量用戶數(shù)據(jù)����。通過“HTML注入”篡改網頁���、插入惡意的腳本控制用戶瀏覽器��,以正常的用戶身份在網站上發(fā)消息�����、買東西,甚至轉賬���。這些攻擊手段十分隱蔽�,危害之大讓人防不勝防����。
如今傳統(tǒng)的信息安全防護方案,對于應用軟件�、數(shù)據(jù)安全的防范作用有限。傳統(tǒng)信息安全防護方案中�,WAF(Web Application Firewall)是如今比較常見的應用層安全解決方案��。但WAF這類邊界保護防護方案���,對于管理人員的要求十分高,但目前我國安全人才稀缺����,有調查報告指出,我國每年對于安全人才的需求達到100萬�����,但實際人才輸出僅有2W���,有高達98% 的缺口;因此由于策略配置的不妥當帶來的誤殺誤報現(xiàn)象也就十分嚴重�。
據(jù)介紹,RASP技術的原理是將保護代碼像一劑疫苗注入應用程序中���,結合應用的邏輯及上下文���,對訪問應用請求的每一段代碼進行檢測,相比于WAF來講����,可以實現(xiàn)簡單管理及提升了檢測的精準性���。
小結
何迪生表示:RASP技術并不會完全取代WAF,信息安全是一個層層設防��,縱深防御的過程���,RASP探針是保護應用安全的最后一道無法逾越的防線。
“我們正在中國開創(chuàng)新一代安全體系的歷史�,這是前所未有的?���!焙蔚仙f��。
