在SOX, HIPAA, GLBA 和 CA SB-1386等网络安全标准推行的年代,一次成功的攻击将会给您的商务网站带来多大的损失?合法的保护企业敏感的数据需要解决以下几个问题:保护Web资源的关键资源有哪些方法?保护这些有价值的应用程序资源需要多大的投资?如何知道我们已经得到防护,特别是应用程序本身只能提供有限的安全记录时?我们如何对客户化的应用程序进行防护?
Web浏览器现在成了内外部访问及应用程序的标准的用户界面,比起为每个应用编写肥客户端程序,Web方式大大节省投资,因此,Web应用在IT界被迅速的推广。
起初设计Web应用程序使用Web浏览的目的是共享或访问静态的信息,而并不注重安全设计。由相对安全的肥客户端过渡到相对不安全的浏览器-瘦客户端带来了两个挑战:应用程序安全性的降低以及如提升安全需要花费更高的成本。很多暴露在web前端的应用在开发时甚至都没有考虑到被攻击的情况。.
在这种背景下,一种新的技术,Web应用防火墙产生了。它能有效的降低网站安全的实施成本。而梭子鱼应用防火墙则是这一新兴产品的领导产品。
老方法行不通
早期,在DMZ区部署静态的Web服务器是标准的安全模型,Web数据中心建立在企业防火墙之外以便于访问者能自由的访问Web站点,但却不能随意访问企业的内部网络和系统。现在,通过Web来访问Web应用系统不仅仅是企业内部的用户,更是直接暴露在Internet上以便于Internet用户访问,传统的DMZ区的概念已经不适用于现在的安全需求。
今天,关于Web应用安全的最佳方法发展为保护少数关键Web事务应用程序。所谓的最佳方法可以用一句话概括--修补代码。Web应用的安全完全依赖开发者对程序不断的更新。
但是,除非开发者能够在黑客之前发现并及时的修补了程序的漏洞,否则web系统总是处于黑客的威胁之下。当程序数量较少时,补丁模式维护应用程序安全是可行的;但如果一个应用中有数十数百个应用程序,修补代码的工作成本将极其高昂,这种安全维护模型几乎是行不通的。然而,Web应用防火墙能够预防未知的应用程序漏洞,从而减少维护成本提高可用性。
减少不安全造成的损失
鉴于程序的复杂性,特别是那些程序数量巨大的系统,Web应用程序的开发者不能或无力识别并对所有的程序漏洞进行修补。而绝大多数企业,无论是内部使用还是外部用户访问,运行程序运行时,往往有许多安全漏洞。因为不安全代码造成的损失的案例媒体几乎每天都在报道,除了这些公开的消息,还有很多没有报道的攻击。除此之外,甚至还有更多的攻击没有检测到---而其中可能有非常重要的信息被黑客获取。
通过阻断那些黑客用来访问应用程序的方法,应用防火墙能防止黑客闯入那些易受攻击的程序,而不需要更改应用程序的代码!这样:
减少客户数据、商业机密、员工信息、财务信息及其他敏感数据泄露的可能性。
减少因泄露信息而产生法律诉讼的可能性。
减少因安全问题造成公司股价下跌、形象受损、客户信誉降低的可能性。
更早的遵从有关法规对企业网络安全的规定如: (SOX, GLB, HIPAA, CA SB -386)
阻止黑客用来攻击的方法避免将需要对程序立即修补,并最大程序阻止攻击减少损失。
加快应用的使用
当前,一个新的web应用需要经过漏洞检测工具测试之后才能使用。而通常这样的检测总能发现应用程序中的许多漏洞,但更为重要的是这可能造成客户的流失。如果没有应用防火墙,你必须对程序中的每一个漏洞进行修补,然后反复测试,直到确信没有漏洞,应用程序才推向市场;这可能导致错失商机。而如果部署了应用防火墙,您可以立即在测试,如果发现漏洞被应用防火墙保护,你可以先行发布应用,而不必担心被攻击,然后您可以从容安排漏洞的修复计划,并在后期的版本中修正这些漏洞。这意味着您能够更早的发布应用,一边这些应用更早的产生经济效益。
试想,投资50万元开发了一个web应用,早3个月投入使用会为您带来多大的经济效应?
便于维护
如果一个应用产生的经济价值,它将会升级并固化成产品。应用防火墙对应用程序升级和产品化有两个重要的作用:
首先,很明显,应用防火墙可以防止对系统的攻击。其次,如果您正在遭受攻击或者您通过审计与评估,发现您的系统存在漏洞,您可能需要将应用系统离线,直到漏洞得到修复,补丁得到测试并应用。但是如果有应用防火墙保护您的漏洞,您可以在修补系统的同时继续运行应用系统。例如:根据法律,德国金融行业的用户对于补丁需要经过7天的测试。这样才能避免应用程序在补丁期被黑。只有应用防火墙才能即遵从法规又能不中断应用。
再比如一个老的应用程序,如果当初开发维护它的团队已经不在了,如果在后来的审计或测试中发现了一个严重的漏洞,那么修复这个漏洞的成本可能高到无法承受。但如果有应用防火墙的防护,我们仍然可以继续在线使用这个看起来修复无望的应用程序。
- 第1页:梭子鱼Web应用防火墙安全解决方案(1)
畅想——2019深信服创新大会
RSA2019信息安全峰会:Better
RSA2018信息安全峰会:Now Matters
2017网络安全博览会暨安全成就展 ——绿盟科