CRM、ERP、OA......大家都很关心你们的安全问题！

随着网络威胁变得越来越强大和越来越普遍，检测应用程序中的安全漏洞至关重要。

”

应用程序安全性是一个通过查找、修复和增强应用程序安全性以使应用程序更安全的流程。虽然大部分发生在开发阶段，但是其中包含了可在应用程序部署后对其进行保护工具和方法。随着黑客越来越多地将他们的攻击目标锁定为应用程序，这一流程也变得越来越重要。

应用程序安全性正在受到越来越多的关注。目前已经有数百种工具可用于保护应用程序组合的各种组件，从锁定编码更改到评估不经意的编码威胁，评估加密选项以及审核权限和访问权限。移动应用程序、基于网络的应用程序以及为Web应用程序设计的防火墙也都有专门的工具。

应用程序的安全性为什么如此重要

安全测试公司Veracode在其发布的《软件安全状况》报告中指出，其测试的85000个应用程序中有83%至少存在一个安全漏洞。许多应用程序则有着更多的漏洞，因为他们的研究总共发现了1000万个漏洞，并且在所有应用程序中，20%至少有一个严重的漏洞。虽然所有这些漏洞并非都会构成重大的安全风险，但是数量之多令人感到不安。

在软件开发过程中越早越快发现并修复安全问题，企业也就越安全。每个人都会犯错误，因此能否及时发现这些错误是一项挑战。例如，常见的编码错误可能允许未经验证的输入。这个错误可能演变成SQL注入攻击，如果黑客发现了它们就导致数据泄漏。

集成到应用程序开发环境中的应用程序安全工具可以让这一流程和工作流变得更为简洁高效。如果要进行合规性审核，那么这些工具也是非常有用的，因为它们可在审核人员发现问题之前找到问题，从而节省了时间和费用。

在过去几年中，企业应用程序的构建方式在不断地发生着变化，这有力地推动了应用程序安全领域的快速增长。如今，IT部门需要数月时间才能完善需求、构建和测试原型并将最终产品交付给最终用户部门的日子已经一去不复返了。这种理念在现在看来也已经过时了。

取而代之的是被称为连续部署和集成的新工作方法，这些方法每天(有时甚至是每小时)都会优化应用程序。这意味着安全工具必须在这个持续变化的环境中工作，并迅速发现代码中的问题。

Gartner在有关应用程序安全炒作周期的报告中指出，IT经理“需要识别常见的应用程序开发中的安全性错误并防止常见的攻击技术。”Gartner的报告列举了十几种不同类别的产品，并详细描述了它们在“炒作周期”中的位置。

在这些类别中，许多正在兴起并且使用了相对较新的产品。这表明随着威胁变得越来越复杂，越来越难以被发现，并且对网络、数据和企业声誉的潜在损害更为严重，同时市场也正在迅速发展。

应用程序安全工具

尽管已经有了许多应用程序安全软件产品类别，但是问题的关键在于以下两个方面：安全性测试工具和应用程序屏蔽产品。前者有着一个更加成熟的市场和数十家知名供应商，其中不乏软件行业中的佼佼者，例如IBM、CA和MicroFocus。这些工具已经非常完善，Gartner为此创建了一个魔力象限并对其重要性和成功进行了分类。IT CentralStation之类的评论网站也对这些供应商进行调查和排名。

Gartner将安全测试工具分为以下几个大类，这对确定以什么方式保护需要保护的应用程序组合非常有用：

• 静态测试，用于在开发过程中分析固定节点上的代码。这有助于开发人员在编写代码时检查代码，以确保在开发期间引入了安全性问题。

• 动态测试，用于分析正在运行的代码。由于它们可以模拟对生产系统的攻击并揭示使用联合系统发展出的更复杂的攻击模式，因此非常有用。

• 交互式测试，其结合了静态和动态测试的元素。

• 移动测试，是专门针对移动环境设计的，其可以检查攻击者是如何利用移动操作系统及在其上运行的所有应用程序。

另一种测试工具的分类方法是看它们的交付方式，是通过本地部署工具还是通过基于SaaS的订阅服务(提交代码进行在线分析)交付的。有的同时采取了上述两种方式。

需要注意的是每个测试服务提供商都有自己支持的编程语言。有些将他们的工具限制为仅一种或两种语言(Java通常是一个安全的选择)。另一种被广泛支持的是Microsoft .Net。集成开发环境(IDE)也是如此：某些工具可以作为这些IDE的插件或扩展来运行，这使得测试代码就如同点击按钮一样简单。

另一个问题是，是否将任何工具与其他测试结果隔离开来，或者是否可以将其整合到自己的分析中。IBM是少数几家能够从手工代码审查，渗透测试，漏洞评估和竞争对手的测试中导入发现结果的厂商。如果有多个工具需要跟踪，那么这将非常有用。

此外，不要忽视应用程序屏蔽工具。这些工具的主要目的是强化应用程序的安全性，让攻击变得更加困难。这是一个较少提及的领域。在这里，你会发现大量的小众产品。许多情况下，这些产品的历史和客户群都很有限。其目标不仅是测试漏洞，还可以积极防止应用程序损坏或受到破坏。它们可以分为以下几个不同的大类：

• 运行时应用程序自我保护(RASP)：这些工具可以被视为是测试和屏蔽的组合。它们提供了一些措施，防止可能的逆向工程攻击。RASP工具会持续监视应用程序的行为，这在移动环境中非常有用，尤其是当应用程序可以被重写，或是在root过的手机上运行，亦或是将滥用权限转变为恶意行为时。RASP工具可以发送警报，终止错误流程或在发现受到威胁时终止应用程序本身。

RASP可能会成为许多移动开发环境中的默认设置，并被内置作为其他移动应用程序保护工具的一部分。我们期望看到拥有可靠的RASP解决方案的软件供应商建立起更多的联盟。

• 代码混淆：黑客经常使用混淆方法来隐藏其恶意软件。现在工具也可以让开发人员这样做，以帮助保护其代码免受攻击。

• 加密和防篡改工具：这些工具可以用来阻止不法之徒洞悉我们的代码。

• 威胁检测工具：这些工具会检查应用程序正在运行的环境或网络，并对潜在威胁和滥用的信任关系进行评估。一些工具还可以提供设备“指纹”，以确定手机是否已经被root或是遭到破坏。

应用程序安全挑战

部分问题在于IT必须满足多个不同层面的要求才能保护其应用程序安全。他们首先必须跟上不断发展的安全和应用程序开发工具市场，但是这只是切入点。

随着越来越多的企业更深入地接触数字产品，并且他们的应用程序组合需求也变成了更为复杂的基础架构，因此IT部门必须要预测业务需求。与此同时，他们还必须了解如何构建和保护SaaS服务。这是一个非常头疼的问题，最近对500位IT经理进行调查后发现，他们普遍缺乏基本的软件设计知识。该报告指出，“首席信息官可能会发现自己在企业高管中处于极为尴尬的位置，需要负责降低复杂性、保持预算和加快现代化以适应业务需求。”

最终，应用程序安全性的责任可能会在IT运营中分解到多个不同的团队中。网络人员可能负责运行Web应用程序防火墙和其他以网络为中心的工具，服务器人员可能负责运行面向端点的测试，各个开发小组可能还要负责其他的一些工作。这导致很难开发出一种可以满足每个人需求的工具，这也是市场会变得如此分散的原因。

应用程序安全趋势

2019年，Imperva发布了《2018年度Web应用程序漏洞状态》。总体调查结果是积极的。尽管Web应用程序漏洞的数量持续增长，但是增长速度正在放缓。

这主要归功于物联网漏洞的减少，2018年仅报告了38个新漏洞，而2017年为112个。API漏洞在2018年增加了24%，但是还不及2017年的一半(2017年的增长率为56%)。

据Imperva的报告显示，出现大量漏洞的另一个领域是内容管理系统，尤其是Wordpress。该平台报告的漏洞数量增加了30%。

该报告指出，尽管Drupal内容管理系统不如Wordpress那么受欢迎，但是由于存在两个漏洞：Drupalgeddon2(CVE-2018-7600)和Drupalgeddon3(CVE-2018-7602)而成为了攻击者的目标。这两个漏洞都允许攻击行为连接到后端数据库，使用恶意软件扫描并感染网络和客户端，或者是挖掘加密货币。Imperva称在2018年阻止的攻击中，使用这些漏洞的攻击超过了50万次。

Veracode报告显示最常见的漏洞类型为：

• 信息泄漏(64%)

• 密码问题(62%)

• CRLF注入(61%)

• 代码质量(56%)

• 输入验证不足(48%)

• 跨站点脚本(47%)

• 目录遍历(46%)

• 凭证管理(45%)

以上的百分比代表测试应用程序中的普遍性。自从Veracode在十年前开始跟踪这些漏洞以来，上述所有漏洞的发生率都在增加。

Veracode的研究发现了一个积极趋势，那就是在修复应用程序漏洞的速度和时间方面，应用程序扫描发生了很大的变化。总体修复率(尤其是针对高危漏洞的修复率)正在提升，由2018年的52%提高到了56%，级别最高的高危漏洞的修复率达到了75.7%。经常扫描和测试软件的DevSecOps方法可缩短修复漏洞的时间。每年被扫描12次或更少次数的应用程序的修复时间平均为68天，而每天至少扫描一次可以将修复时间提高到19天。