Web应用面临的IT安全风险与危机 孙政豪 背景 目录 威胁 防护 1、Web的作用 2、Web安全的意义 3、Web安全的现状 Web的作用 Web丰富了我们的生活 网上购物 网银缴费 博客论坛 吃喝玩乐 Web安全的意义 • 电商平台如果被不法分子攻破，平台的交易信息就会被不法分 电商 子利用，对平台自身和用户带来一定的影响 • 互联网金融直接涉及到金钱，如果被不法分子攻陷，会直接导 网金 致金钱的损失。 • 吃喝玩乐平台是与我们的行为习惯强相关的，如果黑客拿到了 网乐 我们的行为习惯，可以利用它来进一步获取更多的东西 Web安全对用户或者平台都是很有必要的 Web安全的现状  超过80%的攻击发生在应用层  多样化的攻击越来越难以防御  Web系统开发商在安全领域投入少 1、Web常用的攻击方式 2、OWASP Top 10 Web常用的攻击方式 主流的Web攻击方法 资料来源：IBM X-Force®研究与发展 OWASP Top 10 1、常见的防护方法 2、Web应用防火墙 3、运行时应用自我防护 常见的防护方法 • 分层次防御 • 提高攻击者被检测到的概率 • 降低攻击者成功得手的几率 安全软件的开发生命周期-SSDLC 需求 • • • • 设计 产品研发初期 • 设计 安全顾问规划 • 1.设计安全架构 规划安全里程碑 和指导方案。 安全元素集成入 • 2.形成安全且有 产品 效的规范完档 • 漏洞模型 实现 • 标准、检验、工 • 具 • • • 1.遵从安全编码 • 规范 • • 2.使用安全扫面 工具(fuzzing tools, staticanalysis tools, etc) 验证 安全性推动 代码reviews 安全性测试 主流漏洞监测 达到预期准则 发布 • • • • • 安全性把控 • 安全团队的检测 • 完整的测试验证 遵守安全准则 • • RTM 和 部署 响应 安全响应 规范反馈响应 机制 实时处理反馈 反思 安全领域的指导 人才少见 缺乏安全且有效的流程 指导文档 研发团队往往很少 考虑安全因素 Web应用防火墙  Web应用防火墙（WAF）是部署在Web服务器的入口，检测所有进入服务 器的报文通过正则表达式的方式匹配报文的特征字段，来判断是否为攻击。 RASP, 运行时应用自我防护 实时应用自我保护技术（Runtime Application Self－Protection）也称RASP技术，是 2014年9月Gartner的调研员Feiman提出的一种全新概念。 他指出，网络的边界逐渐在消失，同时诸如WAF这类的“边界保护”技术也无法深入应用 内部，对应用的逻辑数据流理解不全面，由此带来的误杀率高的现象时有发生。 为什么需要 RASP 技术 ◦ 程序完成的太久远，找不到源代码 ◦ 漏洞数量太多 ◦ 缺少安全专家去推动SSDLC ◦ 开发团队缺乏安全经验 ◦ 第三方供应商的漏洞修复周期长 ◦ 系统中存在未知的漏洞 所以，你需要使用RASP产品打虚拟补丁，来保护你的应用程序 RASP 请求示例图 所有应用程序的实时访问首先都要经 过OneRASP的安全检查 OneRASP SaaS的控制台 OneRASP agent 实时威胁 情报分析 Request 所有的实时分析 和预防由 OneRASP完成 应用程序 OneRASP 成功阻止攻击 JVM 应用服务器 防火墙/入侵防御系统/ Web应用防护系统 该代理安装在应用程序服务器作为实时威胁 智能筛选器 Happy Security Admin RASP技术不同与传统的WAF，它像一剂疫苗注入到应用中，与应用一起运行， 对外提供服务。 结合应用的逻辑和数据流，在运行时对访问应用的代码进行检测，当某种请求 与预设置的规则集相匹配时，即可实现攻击的实时阻断，对于已知漏洞来讲， 相当于为其打了虚拟补丁，起到补偿控制（没有真正的修复漏洞，却起到了修 复漏洞后的效果）的作用，这样研发人员也可以根据自己的时间和精力对漏洞 进行修补。 但是由于RASP技术是一项全新的概念，且对技术的要求很高，目前国内外真正 做这个方面的公司极少。