因为周边安全永远不会是完美的,专家们将注意力转向保护公司珠宝——应用程序。
您的组织理解安全。它遵循最佳实践,有必要的防火墙、防病毒和入侵检测系统沿着周长,只有与移动通信用户或业务伙伴通过安全的vpn。
当最终用户输入他们审核的通过VPN网络由一个单独的安全服务器,以确保他们的机器配置适当的防火墙和杀毒工具之前他们授予访问核心应用程序。
公司甚至是只要部署应用程序特定的防火墙和入侵预防系统(IPS)最关键的应用程序服务器,看和阻塞non-appropriate应用程序调用和交通。的专家们称之为“纵深防御”,和你有黑桃。
但即使该公司可能已经花了数千人,也许数百万美元的安全基础设施,它仍然会被最新的病毒或蠕虫。
“这张照片怎么了?”问保罗·西蒙兹伦敦化工集团全球信息安全主管ICI和耶利哥论坛的创始人之一。“我们回到前面,。我们说,既然我们不能保证我们的应用程序中,我们需要将防火墙和组装件的地方让我们至少semi-secure,甚至不工作。但是为什么不回到第一原则和从一开始就得到这个安全,在应用程序级别?”
一个应用程序部署的噩梦
专家认为,安全需要重点的转变。”的人思考新的黑客技术,软目标现在不是网络或操作系统。应用程序,”托马斯·龙斯达夫说,副主任技术安全组织CERT。因为不管你到位多少技术在应用程序中,为了使用它们,你必须打开他们最终用户和其他进程。
“这没有任何意义,以保护所有这些信息,如果你不能得到它,”龙斯达夫说。“你必须提供任何客户。这意味着你真的依赖的正确配置和安全不仅每个应用服务器,而且每一个终端用户将使用应用程序。”
更复杂的情况是,应用程序供应商实现身份验证和授权等安全措施不同的加密等等。
“我们仍然在西部阶段应用程序的安全,每个人都有一个好主意去向它自己的方式,”龙斯达夫说。“很少有供应商正试图把他们的应用程序在一个安全的框架。”
让终端用户很难安全地部署和配置他们的业务关键型应用程序。“部署新应用程序时,用户面临着一长串安全复选框,“龙斯达夫说。”,他们有责任找出每个应用程序的内在安全问题,如何最好地海岸,然后如何确保最好的安全配置一个应用程序不干预或覆盖的安全配置另一个。”
现在最令人生畏的区域,布莱恩·杨说,副总统Creighton大学奥马哈,内布拉斯加州“这就像你必须成为一个NASA的工程师,使安全工作对于某些应用程序,”他说。”在很多情况下,只有那些知道如何工作是公司的工程师建造了它。这是不友好的。它真的很难部署。”
龙斯达夫说应用程序供应商最终将不得不团结在标准化、某种安全中间件,将确保每个应用程序实现安全标准。
“当我们有一个更好的中间件层,应用程序开发人员可以开始使用,那么这个问题就会更好,”他说。“我们将有更严格的应用程序安全性,更统一的接口和一个更简单的终端用户体验当调整安全参数。”
但是这需要时间,虽然行业等,应用程序将继续软目标。
临时解决方案
这并不意味着今天的组织不能保持应用程序安全。专家说,关键是要部署的基于应用安全战略,着眼于未来。许多组织在应用程序安全倾向于关注诸如应用程序特定的防火墙或基于ip解决方案入侵防御。这些工具的支持者吹嘘说他们可以部署在关键应用服务器,然后配备政策来确保只有可接受的类型的交通可以访问该应用程序。
”,而不是识别和阻止所有糟糕的交通,我们把它从其他的角度来看,说什么交通应该允许,什么是可以接受的应用程序,”Mike Paquette说,市场营销和产品管理的副总裁IPS供应商上层网络。Paquette说喜欢他公司的工具攻击缓解剂可以支撑应用防御,特别是在这种情况下,应用程序没有正确配置为安全。
说你推出一个微软Web服务器和支持WebDAV,打开一个网络编辑工具,不应该在生产环境中。Paquette说“这是一个错误,”,“但你可以建立一个政策在一个IPS观察每个请求,进入应用程序,如果一个包含特定于WebDAV的命令,你可以阻止它。”It's an added layer of protection.
这样的工具是有用的但不解决正确的问题从长远来看,一些专家说。“你真的需要堆栈,”安德烈亚斯Antonopoulos说Nemertes Research的高级副总裁兼创始合伙人。“使用防火墙或IPS理解TCP或HTTP不是正确的方式去做。你窥视从网络层到应用程序,但你仍然非常的IP地址,和你仍然非常的网络。”
这种IP-centric战略问题变得尤其当企业开始转向的新概念雷竞技电脑网站,核心应用程序服务器虚拟化和应用程序自动供应和需求。在这样一个灵活的环境中使用基于ip的安全工具导致不必要的复杂性和做生意会妨碍组织的能力。
“你最终将你的基础设施,使其更少的动态,“Antonopoulos说。
这是因为这样的工具往往把特定的服务器在特定的IP地址与特定功能,如Web服务。
”,完全否定任何自动供应系统的想法,”他说。“在这种情况下,你有两种选择:要么你的安全基础设施变得更加灵活和适应性,或你不得不设置大量的代理和重定向之类的东西来补偿。”
而不是使用一个Web服务器的IP地址,组织应该建立类似DNS解决IP地址动态移动应用时,他说。“但这很简单,”他说。“首先,你介绍了安全风险,这样如果有人重写DNS条目,他们可以劫持您的Web服务器。其次,你已经添加了一层重定向,这是一场噩梦。”
Antonopoulos说,最好的方法身份管理的安全。“身份管理,你完全忽略了网络,”他说。“所以不要想财务部5 IP地址,就五个服务器或用户。这都是基于策略,应用领域和组织公司内部域是完全与底层网络分离。”
他还说,新兴的协议,如安全性断言标记语言(SAML),它允许Web服务应用程序交换身份验证信息在中间件层,是一个正确方向的一步。
“现在东西可用,但这只是发生在供应商看到它从应用程序的角度来看,”他说,补充说,供应商看身份管理和Web服务领域。“如果他们支持SAML今天,他们得到它。”
积极的措施
最后,进攻永远是最好的防御。专家建议而不是沾沾自喜地接受不安全的应用程序,公司从供应商更好的应用程序级安全需求。
Creighton年轻的说,他避免了安全配置和互操作性问题,使关键合同规定应用程序。
“在我们签订合同之前购买应用程序,我在条款增加了服务水平协议,保证应用程序的安全级别都是易于配置和用户友好的,他们说,”年轻人说。“如果在应用程序之间存在相互矛盾的问题,我说这是他们的问题,他们必须带来一项决议。我们都包装成合同,它让我们把表供应商,让他们负责。”
同样,要求应用程序供应商的支持是很重要的安全协议。ICI的西蒙兹说,他的业务单位不断向他施加压力,让它更容易在互联网上运行应用程序,灵活性和成本。“但互联网本质上是不安全的,”他说。”,你会很惊讶,但是很多厂商似乎并没有意识到。他们还设计新的应用程序,使用Telnet、FTP。”
一个ICI业务拒绝接受FTP为默认标准ERP应用程序。“我们告诉我们的ERP供应商被要求使用AS2与我们的业务合作伙伴沟通,要求他们如何,”西蒙兹说。这里不知道,但是供应商已经有了一个AS2插件模块。“我们买了模块充电,一个星期后,我们在启动和运行。”
“这东西是可能的,它确实存在,”他说。”只是它的一个秘密和默认接受的方式,他们会告诉你——是使用FTP,这是错误的。”
西蒙兹说,用户应该要求应用程序级安全在你的公司工作以及公司,客户和业务合作伙伴。
“今天,微软会说如果你买我们的最新的办公套件和XP,你可以安全的数字加密和管理所有文档,”西蒙兹说。“但是如果你需要做业务与合作伙伴在Unix或运行办公室的一个早期版本,它不会工作。你不这么做,或者你必须解密外面时您的业务。这是不能接受的。”
他说,关键是花更少的时间评估和管理临时解决方案和更多的时间推动供应商支持的应用程序。
“危险在于,我们在所有这些美好的计划和最新的黑盒,我们忽视大局,”他说。“你必须把这些东西现在因为你的生意仍然需要运行。但是你需要做的就是节省15%到20%的时间退后一步,调整你的资源,他们会做最好的——应用程序结束。”
在乐观的情况下,供应商最终将产生在互联网上可以安全地运行的应用程序,而不需要精明的客户实施适当的安全通过防火墙,vpn和其他设备令人作呕。
但如果这种情况是接近现实,组织需要从现在开始敦促供应商。“你必须记住任何你正在市场上两年的时间是今天的研发实验室。所以我们需要影响,现在,”西蒙兹说。
卡明斯是一个自由职业者,质量。她可以达成的jocummings@comcast.net。