您位于: 首页 OWASP峰会 OWASP2010中国峰会 何平:安全决定应用成败

何平:安全决定应用成败

 

梭子鱼网络有限公司中国区总经理 何平先生

 

演讲实录:

何平:这是一个大概的内容。先介绍一下Barracuda,Barracuda在2002年成立的。这是 Barracuda的发展,Barracuda实际上是2002年出现了,大概在全球50%左右,在中国估计60%,因为基本上Barracuda是比较 多的,因为Barracuda在互联网的应用是很多的。2005年Barracuda,2006年我们研究了Barracuda,同时在自己研发产品的过 程中,我们也不断地通过整合的手段做我们的产品体系。

 

2007年9月份,上午大家看到有一个介绍,在04年出了一个应用防火墙,在2007年被顺利收购。08年我们收购了另一家公司,09年下半年我们收购了一家公司。我们在09年下半年收购了奥地利公司,09年下半年我们收购了美国的一家公司。这是一个解决方案体系,我们的方案分三个部分,我们主要是以应用安全为主,我们的产品包括了垃圾邮件防火墙,SUVIT,最主要的还是防火墙。在网络的应用监护这方面,我们的产品线包括了服务器和连接服务器。我们一种是设备,另外一个是虚拟化设备,目前来说,我们大部分产品线都完全了VM2的开发,我们进行了整合,目前在外面安全服务和邮件安全服务这一块都已经阐明了。

 

这个报告正好上个月在欧洲开了一个欧洲地区的合作合同会,这是一个Web的机构,这是Web的五大趋势,第一个全球目前来看每秒增加一个种苗, 后面我就不讲了。第二个是交互性应用,就是以前我们浏览器叫习惯了,现在浏览器已经不是浏览器了,本身来说很多应用者,我们以前的迅雷下载,现在是插件, 这样浏览器就变了。还有这个就是Web时代创作一个交互,像blog,分为演员和观众,网站的内容是演员。第四个是远程用户接入,原来是台式电脑,现在笔 记本的机率越来越高,还有一个终端加入到互联网中,以前我们觉得用手机上网没有什么好看的,但是现在的比例越来越高。美国移动用户的增长,我们看一下吧, 在2008年有22%的网络用户,到2010年到34.5%.移动公司加入整个互联网意味着将有很大的爆发。银行支付的必要,现在移动必要在移动终端上进 行,这个要有一些便利性。

 

一零年的1到6月份国家互联网数据报告的统计,第二大的是漏洞。我们再看整个世界的阅读,中国大陆地区被篡改的网站数据很多。我大概整理了一 下,我们近期的攻击事件。google和百度比较重,影响力比较大。另外的话,09年上半年拍卖,当时的一个原因是拍卖网络。还有一个就是大家知道三鹿网 站被改成三聚氰氨网站。

 

这是国外的资料,这是互联网信息台湾的一个。这是新华网的一个新闻,政府网站这个大家应该都知道,散布地震谣言。我们看一下为什么这么多的外 行,我来讲主观上应用来说,以前我们上网看一些网页和一些新闻,现在看看新闻和世界博客,另外对企业的关注。我们说SAP系统最多是大型机系统,后来迁移 到BS了。外部应用就包括一些企业的运行都是从原来的应用系统,到CS的应用,这样会导致大量的系统,这是主观的因素。客观的因素是越来越多的诱惑,越来 越的资源。你搜黑客它会教你怎么去攻击,实际上现在变成一个什么概念,小学水平了,会上网,认识字就可以成为黑客,有一个问题我再展开一下。我前一段时间 去上海复旦大学跟他们聊,他们那个系主任跟我们讲,很好玩,两个宿舍,每人24小时,看看谁能把学校的评分系统给攻了,年轻人可能好奇、攀比,还有一种恶 作剧,因为现在网上的黑客越来越多,还有游戏道具也特别值钱。

 

所有我觉得各方面因素有,还有政治因素。大家会发现,最近伊朗网站被攻击,大家都知道黑客。

 

安全考虑一类型,但是你要问他怎么应用,或者从架构方面。安全不是我的事儿,我只要实现业务安全,我只要在界面上操作一下就行,界面方面没问 题,大部分还是安全问题。第二个应用安全的复杂性,我想应用安全最主要的原因就是基础架构,原来我们的BS现在变陈三组架构,这是一个典型的网站。不同的 有不同的开发工具,还有在网络的检测和交验。

 

然够大家看,上面有一个典型的Web.前一段代码实际上显示菜单,后面直接查询和修改。另外还有一个问题说,第三个问题,对已知漏洞的防护延 迟。其实是这样,程序为我们已知漏洞,但有的漏洞你要去补的时候会比较麻烦,会牵扯到两个方面,第一个方面除了功能的性质,你还要定期地进行测试,你使用 用户的应用,平时是没有例子可以借鉴的,我们通过分析互联网上哪些点成为统一来源的,它有哪些行为,所以它是没有办法的。

 

另外现有安全措施的局限性,在开发商也好,但是很多人认为安全问题应该交给谁?目前我们看网络安全的时段。实际上,有的时候因为应用的分散性,你壁纸画太大没用,画小了不能用。网页是有特色的。

 

下面讲一下梭子鱼。我先讲一下概念,一般的有15万安全的问题,传统意义的问题,这是业务的问题,安全性的考虑我们要注意。最普通的安全诊断需 要75分钟来,修改代码不是代码错了,而是说功能实现了。还有一个问题是这样,我是想快速发布一个程序呢,应用的成本就高了。开发的很快,安全性受影响。 所以我讲梭子鱼,实际上这个社会还是有分工的,应用的开发适当地把这个功能考虑一下。

 

包括策略定义包括攻击的行为,它是数据库的,这是外围的。除此之外我们最主要的,用户访问的是协议中整个校验,授权和身份验证,然后是负载的平 衡。数据的系统调演,网站引申,然后加密,实际上是一个完整的代行,而且目前,过有很多,我看了他们大部分是属于类似于高级IPS的,国际商比较认证的标 准是信用卡行业的标准,最早是在银行交易网站上,后来在其他的网站上,目前在中国的化学下,大部分是政府,对网页的安全性比较高。

 

工作原理我简单讲时间不多了,第一个是终止,第二个是安全,第三个是加速。很多黑客进行攻击的时候进行用户的版本扫描,版本号是多少,这个时候 漏洞的后门是多少,我再查,黑客来攻击我的时候,他查了以后,他认为不得体,我实际上用的是微软,但是我不告诉用的微软。安全的话这个我就不展开了。再一 个是加速,安全是有成本的,安全会增加延时。比如我们的高速路通口,检查多了,就慢了,后面就堵车了。检查所有的安全问题都是有代价的,为了后面一个加 速,加速的目的可以把原来的时间找回来。

 

应用防火墙的特点,全面保护WEB的应用。在美国,WEB的服务器是全程误导黑客,还有业务优化加速。这是报表,这是最有用的两表,用户的攻击 日志,采用什么手段,然后你再分析,再配以策略。每一家公司都是在学习中。还有一个合规性,我讲的是PCI的报表,这是目前的这个情况,目前来说基本是 360、460、660、860.这是99年美国信息安全杂志的全球产品评测,梭子鱼是金牌,F5是银牌,我们只是供大家参考。梭子鱼在全球的口碑和市场 占有率还是比较高的。

 

这个人是梭子鱼哈里顿。梭子鱼在高尔夫球场,好,谢谢大家。