十年未变！安全，谁之责？（下）

在 十年未变！安全，谁之责？（上）中，咱们介绍了安全领域的现状和RASP新的解决方案，那么 RASP 到底是什么？它在应用安全多变 的今天又能带给咱们什么样效果？咱们将经过何种方式才能打赢这场与黑客之间的攻坚战呢？

应用安全行业快速发展的数十年间，出现了许多巨变。咱们不只看到过能塞满一整间屋子的电脑，那些曾经耗费数万美圆、运行一次须要数周的设备，如今只需十多美圆，几个小时内就能运行完毕。AsTech 仍在为许多重要应用进行人为测评，可是，可喜的是，如今出现了一些可以对数量庞大的应用安全状态进行合理测评的工具。既然咱们能够持续地监测应用状态，有关应用安全的担心是否能够抛之脑后了呢？

应用监控方面的惊人进展却也凸显了应用程序安全链的另外一重要环节：如何修复安全漏洞？咱们能够耗费大量资金事无巨细地测试每一行软件代码，可是若是无法修复检测出来的问题，仍是于事无补。事实上，自动修复解决方案老是伴随着软件测评市场一同出现，这些解决方案正逐渐提升咱们的测评能力。一直以来，WAF 都是优秀测评修补程序的重要补充，但却无可避免地须要极高的专业水准与细粒度的优化才能发挥最高效率。除非咱们的代码可以自动修复漏洞，不然，咱们在应用安全的道路上还有很长的路要走。实时应用程序安全保护（RASP）是应用程序安全链中新出现的一环，它能将你无数的开放漏洞变为能够管理掌控的小问题。

尽管没法修补源码中的安全漏洞，RASP 可以自动防护许多经过常见漏洞进行的攻击，大大地简化该问题。RASP 会被插入运行中的应用栈，经过修改应用的行为，有效防止由程序漏洞而引发的攻击。有了这种解决方案，有限的应用安全开发资源获得了解放，转而专一于那些只有人才能解决的问题，好比修改易受攻击的代码，管理修复生命周期，以及/或优化管理 WAF 安装配置。

总之，即使你有无限的资源，也找不到足够的应用安全专家解决全部问题。随着 WAF 与 RASP 这类解决方案日臻完善，有限的人力资源能够将时间花在更感兴趣的方面，而由自动化解决方案扛起更多工做。一种切实可行的综合解决方案，包括有效全面的自动化部署、与开发流程的紧密集成，再由专家对关键应用进行评测与修复，终于出现并遇上了爆炸式成长的软件开发业。

安全培训

Cigital 公司的 Steven 说除了沟通，安全培训是另一个关键内容。「咱们招聘并培训开发人员是由于时间告诉咱们不这么作就不会作成事情。」他说道。「我认为当你审视安全从业人员社区时，你会发现不少测试人员和安全专家都会学一些编程技术以便更好地从事本身的工做，我认为不少这种设计——注意我说的是真正的设计决策，经过缺陷分类问题，正确的设计或解决软件安全问题的积极办法——我认为这有点超出他们的能力范围。」

「从业成员也有不一样的类型，」他继续说到。「咱们可以从 OWASP 社区了解这些测试专家：有些人在渗透测试拥有五年或十年的工做经历，这群人可能并不了解开发，也并无和管理层人员有过沟通交流，所以建造一直安全团队可能比较困难。当他们与组织架构师谈及采用一个全新开源的结构或库的时候，你可以想象到这对他们来讲将会是一个不小的挑战。理解鸿沟不只仅存在于开发层面，结构层面一样也是如此。」

针对漏洞的培训和企划一样也是 Rogue Wave 公司的 Cope 所提供的建议。「保护本身的惟一办法是更新至最新的补丁，了解最新的新闻和使用最新的办法，并期待它们一直如此……面对全部的这些软件，将会有更多的安全漏洞出现，你须要作到有备而战，使用工具，准备好提醒措施以便可以快速知道问题在哪儿，是来自于开源项目仍是另有它处，知道问题所在后有适当的缓解措施以便知道那些地方受到了影响。」

「若是有一个新的 OpenSSl 补丁，我该怎么办呢？我怎么知道在个人机器环境（虚拟或是物理）须要更新？以及如何操做？谁进行该操做？整个缓和计划必须是一个长期进行的过程。」

打正确的仗

全部人都赞成只要软件还存在，有所图的人就定会利用它的缺陷。但并非由于黑客攻击得不到最终阻止就不值得尝试任何安全软件。

Rogue Wave 公司的 Cope 这么说道：

「这就有点像达尔文主义……适者生存。若是你能快速的打好补丁，那么你就可以挡回处于食物链最底层的黑客，也许他们因为技术陈旧仍然寻找着那些没有及时更新打好补丁的机器。所以若是你正在某个公司承担着安全任务，那么你至少要解决那些陈旧的已知漏洞问题，由于没有这么作的人将会是一个更容易实现的目标，所以那些花了几个小时攻击你的站点的黑客在发现更容易的目标后就不会继续打扰你了。」

「很不幸，可是事实是你不是在与黑客进行某场比赛，而是与那些更新没有你迅速及时的人比赛。这就像你穿上网球鞋，不是为了要跑赢熊，而是为了跑赢你的朋友。」

原文地址：http://sdtimes.com/stop-fighting-yesterdays-software-security-wars/#ixzz3ujcSTpgk

现在，多样化的攻击手段层出不穷，传统安全解决方案愈来愈难以应对网络安全攻击。OneRASP 实时应用自我保护技术,能够为软件产品提供精准的实时保护，使其免受漏洞所累。想阅读更多技术文章，请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客