辰东,欢乐颂第一季

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

應用程序安全專業(yè)知識:WAF服務的附加值

精明的應用程序安全解決方案提供商可以在Web應用程序防火墻（WAF）的選擇、部署和管理中為客戶提供額外的好處，協(xié)助客戶建立有效的應用程序以及數(shù)據(jù)保護方案。

我們提供的服務有：網(wǎng)站設計制作、成都做網(wǎng)站、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認證、達坂城ssl等。為成百上千企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務，是有科學管理、有技術的達坂城網(wǎng)站制作公司

近年來，Web應用程序防火墻已經(jīng)成為企業(yè)滿足某些規(guī)則遵從要求（包括數(shù)據(jù)保護）所需要的工具，可是很少有企業(yè)在部署和管理WAF方面具有專業(yè)知識。因此，許多公司將依靠方案提供商，讓他們協(xié)助自己實現(xiàn)最好的產(chǎn)品部屬。

“整個應用程序安全策略市場仍被嚴重低估”，位于美國密蘇里州堪薩斯市的Fishnet安全公司常務董事Mark Carney表示，“情況正在改善，但是整個安全社區(qū)并不能很快地理解應用程序防火墻所需要的操作和管理水平，以及如何才能有效地對付Web應用程序漏洞?！?/p>

即使對于那些所謂的“復選框”規(guī)則遵從部署而言，這也可能是真的，因為他們需要滿足某些特定的遵從規(guī)則，比如支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)中的要求6.6，該規(guī)則要求用戶要么部署Web應用程序防火墻，要么采用手動或自動的源代碼審查或者應用程序漏洞掃描。

PCI DSS要求對Level 1商家（每年交易量超過六百萬份的企業(yè)）進行審計；MasterCard最近增加了Level 2商家（每年的交易量在一百萬份到六百萬份之間的企業(yè)）的審計要求。經(jīng)驗豐富、積極的、合格的安全評估員（QSA）都希望公司能夠證明他們已經(jīng)安裝了Web應用程序防火墻，并且正在運行。

位于美國賓夕法尼亞州梅卡尼克斯堡市的ICSA Labs公司（該公司是Verizon Business公司的獨立部門，提供中立的安全產(chǎn)品測試和安全產(chǎn)品認證，其中包括WAF認證）負責WAF的經(jīng)理Brian Monkman說道，“有些審計員會問，‘你們有Web應用程序防火墻嗎？’然后說，‘好吧，檢查一下’。但是有些審計員會問更具體的問題，而Web應用程序防火墻存在的時間越長，它們就越成熟，這些問題就越深入?！?/p>

位于美國加利福尼亞州Redmond Shores的Imperva公司首席安全戰(zhàn)略家Brian Contos表示，企業(yè)通常需要確定用戶如何與應用程序進行交互，以及應用程序可以訪問哪些關鍵數(shù)據(jù)等。而合作伙伴所提供的預先發(fā)現(xiàn)（up-front discovery）功能可以當成一種WAF服務，從而確定應用程序和相關數(shù)據(jù)是否在規(guī)定的操作范圍以內。

“毫無疑問，數(shù)據(jù)安全比網(wǎng)絡安全更難管理，”Contos表示?！叭绻悴恢烂舾袛?shù)據(jù)在哪兒，就很難搞清楚用戶是如何進行交互的。”

一般而言，WAF是通過最初的規(guī)則標準進行“學習”的，其中包括一段時間的測試，以便確定哪些是可接受的行為、哪些有問題，以及哪些是惡意的。

這是方案提供商的另一個機會，因為測試結果必須加以分析，并把結果報告給客戶。結果分析完成之后，方案提供商可以跟客戶一起合作，根據(jù)公司策略以及潛在的攻擊，建立自定義規(guī)則，確定哪些行為是允許的，哪些需要警告，哪些需要阻止等。

Contos 指出，“這變成了一種顧問式關系，與只是提供技術相比大大提升了產(chǎn)品的附加值?！?/p>

大型的、復雜的WAF部署尤其如此。專家表示，為了能夠最好地協(xié)助客戶，VAR應該懂得應用程序后面隱藏的業(yè)務邏輯、應用程序是如何工作的、它的開發(fā)平臺式，以及它所使用的編程語言等。

Fishnet公司的Carney表示，“我們需要了解的最重要的事情是應用程序都比較復雜。它們不像網(wǎng)絡流量那么簡單、那么容易預測?！?/p>

他指出，了解即將部署的新應用程序以及現(xiàn)存的應用程序是否有所變化尤其重要?？蛻舯仨毥?jīng)過培訓，知道如何修改WAF規(guī)則來適應這些變化；或者必須與方案提供商約定好額外的服務，讓他們來完成這些工作。

Carney指出，“環(huán)境越是多變，產(chǎn)品就越需要照顧和管理。”

在動態(tài)的環(huán)境中，方案提供商可以用Web應用程序掃描器進行滲透測試，以發(fā)現(xiàn)變化引起的漏洞。Monkman表示，消費者的WAF部署最好結合掃描工具或掃描服務。比如，WhiteHat Security公司基于云的應用程序掃描服務就集成了多個WAF產(chǎn)品。該服務（或者說產(chǎn)品）可以創(chuàng)建“虛擬補丁”，從而阻止某些特定的漏洞利用，直到問題代碼被修復為止。

這對于不能離線的關鍵生產(chǎn)應用程序來說至關重要。創(chuàng)建和測試補丁都需要時間，尤其是當開發(fā)過程已被外包給別人時。

“你需要有人能夠完全理解安全編碼、Web應用程序防火墻，以及漏洞掃描器是如何工作的、應該怎樣整合它們，”Monkman說道。

這種專業(yè)知識的整合非常短缺，這讓方案提供商有了提供應用程序安全服務的機會，不僅僅是簡單的WAF部署。

“為應用程序，尤其是為動態(tài)的應用程序設計安全特性，你最好有一個合作伙伴，”Contos指出,“隨著網(wǎng)絡安全日益商品化，我認為這個領域將來會有很大的增長?！?/p>

【編輯推薦】

建立應用層防火墻規(guī)則基礎
Web應用層防火墻真的像宣傳的那般好用嗎？
下一代防火墻常見問答
企業(yè)需要帶有入侵防御系統(tǒng)及應用可見的下一代防火墻

本文標題：應用程序安全專業(yè)知識:WAF服務的附加值
分享路徑：http://m.fisionsoft.com.cn/article/cccjcco.html

新聞中心

其他資訊