您位于: 首页 OWASP峰会 OWASP2010中国峰会 王晨曦:应用安全市场动态

王晨曦:应用安全市场动态

 

Forrester Research首席分析师王晨曦博士

 

演讲实录:

 

「王晨曦」:大家好!今天很高兴能有这个机会做演讲,我很感谢主办方把我请来,我是在中国长大,很早之前就到美国去读书,现在是forrester公司的副总裁和首席分析师,今天很高兴回来做这个报告,因为这是我分析的一个主要区域,我做应用分析和云计算。我们这个公司是试探第二大市场分析公司,我们做很多有关IT方面的技术和分析,世界上很多大银行都是我的客户,还有很多大的高科技的公司。

这是一个数据,就是(英文)最近出了一个报告,是2010年所有黑客92%的数据泄露都是利用网络应用层的漏洞,所以应用层的漏洞是非常非常大 的一个(英文)。(?)很多也很复杂,原来(英文)这个模型做起来比较方便,现在(英文)把应用层方面的安全做的很简单。还有移动的应用现在做的也很多, 大家都知道这个是什么吧?这个是IPAD,它上面的应用跟PC的应用越来越接近,所以在上面做的安全性能也比较大。

传统的安全是边界防御,大家都知道防火墙,把所有的服务器终端都放在一个网络里面加上防火墙,但是这个防火墙不是很好,因为(英文)数据都可以 从那种形式上出来。所以现在的趋势是从边界防御到应用安全和数据安全,所以我今天讲的大标题就是应用安全确实是我们安全领域当中未来几年当中非常重要的题 目。

那么应用安全到底指什么?我们看一下软件生态这个环境是什么样的,软件是从设计开始到写软件,到测试软件,到应用,这四个步骤里面前三个是开 发,最后一个步骤是部署,这是大家都清楚的生态环境。在开发过程中你怎么做应用安全?在开发过程当中我们推荐的是你要做应用层的扫描,还要做编程工具,还 有(英文),这些名字大家应该都听过吧?在部署的应用怎么做?已经开发完了,现在这个(英文)已经做了,你要用防火墙和(英文),这些都是安全的范围。再 加上其他的(英文),开发人员会不会写安全的培训和咨询服务,这些加在一起是应用安全领域的市场。大家猜猜看这个市场现在大约有多大,全世界这个市场加起 来也只不过6亿美金左右,不是很大。从安全的产品来说,这算一个很小的市场,为什么呢?因为现在主要的钱还是花在网络安全上,还是花在边界防御上,在应用 安全上花的钱还不是很多。所以我说这个领域也算是在发展中的一个领域。

去年我写了一个报告,这是在美国很广泛的一个报告,我研究了一下不同的应用商品现在是怎样被采用。这个图可以看一下这个(英文),是对业务上的 影响力,(英文)是怎么样广泛的采用,最高的线当然是在对商业的影响力最大。你要知道一点,就是侵入测试和应用层扫描,这两种商品现在是世界上采用最广泛 的,其他的比如编程的安全工具现在应用不是很广泛。

这是应用扫描的一个实例,你(英文)就可以看到输入验证的错误,可以攻击这个服务器,并提取精密数据,这样的例子数不胜数。在北美欧洲PCI是 非常大的应用安全领域推动力,PCI是什么呢?它是信用卡行业,美国的(英文)是最大的两个PCI厂商,比如你网上要做网站和收信用卡,PCI对网上应用 安全有很严格的要求,你如果不照它们的规定来做就会给你下罚金。我们看一下花旗银行有2亿个户口,每年应用安全上它就花200多美金,这样来说它是很核算 的,如果它不在应用安全上花费,那么每一个窃取的帐号就要花300美金,所以是非常值得的。

应用安全在网络应用安全的角度覆盖的风险大家都知道,这些都不是很有趣的,很有趣的是利用这样的(英文)赚大钱。渣打银行是我们的一个客户,我 们给它做里个网络用户管理的项目,现在给大家简单的谈一下。它们全球有6万余名员工,是非常复杂的网络回家,它们在50个国家都有业务,所以在每个国家的 平台网络里面的应用都是不一样的,所以是非常复杂的一个环境。我们给它们推荐了一个网络扫描、一个系统还有一些(英文),它们用这个网络扫描做了网络资产 清单,结果发现1000多个防火墙没有发现的漏洞,这些漏洞发现了之后我们给它推荐了优先级的顺序去纠正,当然也用了很多长时间去纠正这些漏洞,但是最后 它们所有的应用都比以前的安全级别提高很多。它最后用扫描来监督服务商和服务产品的安全标准。

但是这个说起来容易,但是做起来是很难的,我刚才调查了一下哪些产品应用的比较广泛,虽说我在上面写了很多不同的编程工具、应用测试工具,但是 最广泛的两个,就是应用程序扫描和清算扫描,你如果只在部署的应用上用这样的(英文)意味着应用层的扫描和编程结合的不是很紧,这个应用已经部署出去了, 编程的人员现在可能去开发别的程序去了。所以最后的结果是软件开发小组不断写出漏洞的(英文),它不是在你写的中间把漏洞消除了,而是在写完开发之后再去 查漏洞,这样你纠正在今后部署应用当中的代价就会很高。

这是我一个客户,是纽约一个很大的银行,他们说应用层扫描给他们带来很大麻烦,因为扫描结果并不告诉你在哪一行有漏洞,所以他们要花很多时间去 查这个漏洞到底是不是漏洞。我另外一个客户是(英文),它们做了一项调查,它们的应用已经写好了,已经在客户那里应用了,纠正每一个漏洞要花3万美金,如 果是在测试当中纠正一个漏洞是3000美金,在开发的时候纠正是500美金,这里面包括员工的时间。这就是非常大的区别,如果你等到最后部署的时候再去纠 正漏洞的话代价就会非常高。

这是(英文)代价的估测,第一个是开发,最后是部署的应用,在已经部署的时候去纠正漏洞是30倍的代价。这个案例是给大家讲在不同的时候纠正漏洞有不同的代价,当然我们希望在开发的时候就要去发现漏洞、纠正漏洞,不要把它留到部署的时候。

大家都应该在用一些编程工具编程的时候就发现漏洞,今天回去之后我希望你们看一下你们公司软件开发的情况,你们是不是用编程工具,是不是用测试 工具,如果不用的话希望大家给你们公司推荐一下,这些是非常好的工具,应该应用。我们也需要把编程工具和扫描结合起来,现在国际上结合的很少,就像我们一 个客户说单单用扫描会给软件开发组带来很大的麻烦,所以我们希望编程工具和扫描工具结合起来。应用层防火墙也是非常重要的一个技术,应该在部署的应用当中 采取一下。2011年我们的应用安全在编程工具的销售额会迅速增长,现在编程工具的市场是比较小的,但是2011、2012我们的编程工具的销售额会飞速 增长,所以如果你们现在还没有用的话可以考虑一下。

但是我们在开发当中还有两个问题,一个是外包软和开源软件,外包软件你怎么样保证它的安全?开源软件你怎么保证它的安全?我有一个客户有一个软 件是十年软件,十年在网上做ASP的,这个软件每一分钟给这个公司产生8000美金的(英文),它们公司知道这个软件有很多的漏洞,但是它们管安全的人就 跟我讲,"我这个软件每分钟就赚8000块钱,我们不可能把这个软件拿下来纠正漏洞",所以怎么样处理这些问题也是非常困难的。(英文)做软件一个是商业 开发的,一个是外包,一个是商业软件,还有一个是开源,很多公司都用的是商业软件或者内部开发,但是它们不知道它们的开发人员会用开源软件,如果你扫描一 下会发现内部开发的软件里面有很多开源软件的模块,所以这些开源软件的安全我们要好好分析一下。

怎么样处理外包开源软件的安全?你知道是开源软件的话可以用编程工具分析,但是如果你不知道那个里面有开源软件怎么办呢?在2009年我们公司 和另外一个公司做了一个调查,调查了200多个高端的公司,看一下它们怎么测试它们的软件。50%的公司根本不测试开源软件,62%的公司不测试外包软 件,它们拿来就用,也不考虑应用安全。Veracode今年出了一个新的Study,它们说开源软件总的来说也有比较高的漏洞,但是一些非常著名的开源软 件可能漏洞比较小,因为做的人比较多,但是总的来说开源软件的漏洞比较高,所以你一定要测试开源软件。

怎么样测试呢?有两个公司我给大家推荐一下,一个叫Blackduck,另外一个叫Palamida,你拿了它们的产品可以去扫描一下自己的软 件产品,这个软件产品里面有什么漏洞它们会告诉你。还有一些专门做测试外包商业软件的公司,你如果去买商业软件有的只是二禁止,veracode和HP都 可以把二进制的码扫描。当然你也可以用应用层扫描和侵入测试看看应用层的安全是不是符合你的规格。

给大家举一个案例,巴克莱银行大家都听说过吧,它从一年半之前有一个政策,它要求所有卖软件的供应商都可以经过第三方做软件测试,软件测试一定 要得一个A,A之下它就不会考虑你的软件,所以很多应用软件都要做第三方扫描。(英文)是美国最早做网络银行的机构,它们也用很多很多第三方的扫描技术保 证外包开发应用的安全性。所以你们公司如果做外包的话,或者你是外包供应商,你要考虑怎么样去向你的供应商,或者向你的客户去验证你的应用的安全性。现在 美国银行业的一个大趋势是很多银行要求应用上提供的应用必须经过第三方的扫描。

美国在应用层的防火墙方面谈论的比较强烈,虽然应用层防火墙它的市场比较小,但是它的能力是非常非常强,它可以保持服务器免受攻击,还可以保障 终端用户保障性,还可以确保进出数据的流量不受危害。昨天我接我的一个客户,他说国内主要是做(英文),而不是做免受攻击,但免受攻击其实是应用层防火墙 最有趣的一个方面。

现在从国际上来讲,应用层安全的技术还算是在起步的阶段,它现在的技术其实很复杂,你要做一个编程工具,一般你把这个编程工具买下来之后才能在 你的软件上产生结果。应用层防火墙的技术不是放进你的网络里就可以用,你要做很多调整之类的东西,所以也不是很好的用。编程和扫描工具的综合现在基本不存 在,所以可创新的空间非常大,对我来说这是非常好的一个领域,因为可以创新的东西很多。现在如果在国际上来讲,在应用安全上或一块钱,在网络安全上就有十 块钱,所以应用安全是一个比较新的领域。过几年我估计会变化,我希望在网络安全上花的十块钱,在应用安全上也至少要花十块钱。

最后我想给大家讲一下应用安全的成熟模型,如果你是对应用安全有兴趣的,应该考虑一个成熟模型怎么样从比较不成熟的地段到比较成熟的阶段,第一 个阶段我叫它被动,就是你没有什么主动的模式去做,如果你的网站攻击了你就去处理。第二个阶段是主动,就是你用比较好的工具去扫描,把你的结果和你的开发 程序联系。第三个阶段是熟练,到熟练的阶段你有很多比较规范的在开发程序当中、测试程序当中、部署程序当中有很大的联系。最后一个是卓越中心,是非常熟练 的,还有,是不是你已经成功了。大家可以回去想一想你们公司大概是在哪一个阶段。很多美国和欧洲的大公司都没有到熟练的阶段,只有最高端的公司和最大的银 行才可以到熟练这个阶段。现在我个人的看法是世界上没有一家公司到卓越中心,所以是在一个发展的阶段。

总结一下,现在要从被动保护转到主动保护,在转型过程中应用安全是非常关键的,如果你用最好的安全程序,但是应用上有漏洞的话,这些安全程序根 本就没有用。所以应用安全要在开发流量环节中,还要在部署环节中。今天大家来参加这个会是非常好的,而且我非常希望中国每年都会开这个年会,让大家在一起 做交流和互动。

大家有人知道这是什么图吗?这是挂在纽约的一个油画,这个油画是自动创造的,是它的艺术家用一个自动把这个弄出来,这个人叫,他写了一个大概十行的,这个画是他追着这个做出来的一幅画,我觉得这个很有趣,因为你的肉眼追不上它的,所以一定要用工具做一些安全的测试。