十年未變！安全，誰之責？（下）

在 十年未變！安全，誰之責？（上）中，咱們介紹了安全領域的現狀和RASP新的解決方案，那麼 RASP 到底是什麼？它在應用安全多變 的今天又能帶給咱們什麼樣效果？咱們將經過何種方式才能打贏這場與黑客之間的攻堅戰呢？

應用安全行業快速發展的數十年間，出現了許多鉅變。咱們不只看到過能塞滿一整間屋子的電腦，那些曾經耗費數萬美圓、運行一次須要數週的設備，如今只需十多美圓，幾個小時內就能運行完畢。AsTech 仍在爲許多重要應用進行人爲測評，可是，可喜的是，如今出現了一些可以對數量龐大的應用安全狀態進行合理測評的工具。既然咱們能夠持續地監測應用狀態，有關應用安全的擔心是否能夠拋之腦後了呢？

應用監控方面的驚人進展卻也凸顯了應用程序安全鏈的另外一重要環節：如何修復安全漏洞？咱們能夠耗費大量資金事無鉅細地測試每一行軟件代碼，可是若是無法修復檢測出來的問題，仍是於事無補。事實上，自動修復解決方案老是伴隨着軟件測評市場一同出現，這些解決方案正逐漸提升咱們的測評能力。一直以來，WAF 都是優秀測評修補程序的重要補充，但卻無可避免地須要極高的專業水準與細粒度的優化才能發揮最高效率。除非咱們的代碼可以自動修復漏洞，不然，咱們在應用安全的道路上還有很長的路要走。實時應用程序安全保護（RASP）是應用程序安全鏈中新出現的一環，它能將你無數的開放漏洞變爲能夠管理掌控的小問題。

儘管沒法修補源碼中的安全漏洞，RASP 可以自動防護許多經過常見漏洞進行的攻擊，大大地簡化該問題。RASP 會被插入運行中的應用棧，經過修改應用的行爲，有效防止由程序漏洞而引發的攻擊。有了這種解決方案，有限的應用安全開發資源獲得瞭解放，轉而專一於那些只有人才能解決的問題，好比修改易受攻擊的代碼，管理修復生命週期，以及/或優化管理 WAF 安裝配置。

總之，即使你有無限的資源，也找不到足夠的應用安全專家解決全部問題。隨着 WAF 與 RASP 這類解決方案日臻完善，有限的人力資源能夠將時間花在更感興趣的方面，而由自動化解決方案扛起更多工做。一種切實可行的綜合解決方案，包括有效全面的自動化部署、與開發流程的緊密集成，再由專家對關鍵應用進行評測與修復，終於出現並遇上了爆炸式成長的軟件開發業。

安全培訓

Cigital 公司的 Steven 說除了溝通，安全培訓是另一個關鍵內容。「咱們招聘並培訓開發人員是由於時間告訴咱們不這麼作就不會作成事情。」他說道。「我認爲當你審視安全從業人員社區時，你會發現不少測試人員和安全專家都會學一些編程技術以便更好地從事本身的工做，我認爲不少這種設計——注意我說的是真正的設計決策，經過缺陷分類問題，正確的設計或解決軟件安全問題的積極辦法——我認爲這有點超出他們的能力範圍。」

「從業成員也有不一樣的類型，」他繼續說到。「咱們可以從 OWASP 社區瞭解這些測試專家：有些人在滲透測試擁有五年或十年的工做經歷，這羣人可能並不瞭解開發，也並無和管理層人員有過溝通交流，所以建造一直安全團隊可能比較困難。當他們與組織架構師談及採用一個全新開源的結構或庫的時候，你可以想象到這對他們來講將會是一個不小的挑戰。理解鴻溝不只僅存在於開發層面，結構層面一樣也是如此。」

針對漏洞的培訓和企劃一樣也是 Rogue Wave 公司的 Cope 所提供的建議。「保護本身的惟一辦法是更新至最新的補丁，瞭解最新的新聞和使用最新的辦法，並期待它們一直如此……面對全部的這些軟件，將會有更多的安全漏洞出現，你須要作到有備而戰，使用工具，準備好提醒措施以便可以快速知道問題在哪兒，是來自於開源項目仍是另有它處，知道問題所在後有適當的緩解措施以便知道那些地方受到了影響。」

「若是有一個新的 OpenSSl 補丁，我該怎麼辦呢？我怎麼知道在個人機器環境（虛擬或是物理）須要更新？以及如何操做？誰進行該操做？整個緩和計劃必須是一個長期進行的過程。」

打正確的仗

全部人都贊成只要軟件還存在，有所圖的人就定會利用它的缺陷。但並非由於黑客攻擊得不到最終阻止就不值得嘗試任何安全軟件。

Rogue Wave 公司的 Cope 這麼說道：

「這就有點像達爾文主義……適者生存。若是你能快速的打好補丁，那麼你就可以擋回處於食物鏈最底層的黑客，也許他們因爲技術陳舊仍然尋找着那些沒有及時更新打好補丁的機器。所以若是你正在某個公司承擔着安全任務，那麼你至少要解決那些陳舊的已知漏洞問題，由於沒有這麼作的人將會是一個更容易實現的目標，所以那些花了幾個小時攻擊你的站點的黑客在發現更容易的目標後就不會繼續打擾你了。」

「很不幸，可是事實是你不是在與黑客進行某場比賽，而是與那些更新沒有你迅速及時的人比賽。這就像你穿上網球鞋，不是爲了要跑贏熊，而是爲了跑贏你的朋友。」

原文地址：http://sdtimes.com/stop-fighting-yesterdays-software-security-wars/#ixzz3ujcSTpgk

現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客。
本文轉自 OneAPM 官方博客