過去十年內,許多企業的商業流程與客戶服務應用逐年增加地移轉到網站應用上。到2009年為止,已經建立了近1億五千萬個網站,其中產生並記錄了約2億筆的資料,估計總共投入了400億美元的相關費用。無可置疑的,網站應用程式的安全性問題,已成為了資訊安全上非常重要的課題。檢測與驗證網站應用程式流程的安全問題,往往需要投入大量時間與成本來進行分析與確認。如此一來可能導致工作行程的延誤與增加重作工時。因此,所有的開發與資安團隊一直在尋找一個兼顧成本與效率的解決方案,將成本費用最小化,取得效率與利益最佳的組合。
近年來,在檢測網站應用程式弱點上,有兩個重要的技術是比較多人採用並有效率的。在軟體安全檢測部分方面,主要分成兩派,一派是動態應用程式安全測試(Dynamic Application Security Testing, DAST) 與 靜態應用程式安全掃瞄( Static Application Security Testing, SAST)。這兩種方式,均有其優點與限制。採取有效的互補下,許多企業或組織也開始同時結合這兩種技術來解決問題。在應用程式開發生命週期(SDLC)中,導入了混合型的掃瞄技術,將可以更迅速地分辨與分析軟體安全問題,並進行安全問題修正。本文內容主要介紹這種下一代新型掃瞄技術(Hybrid 2.0),此技術將帶給公司或組織最大的效益,並確保他們的軟體安全。
SafeNet大幅的降低遵循PCI規定所需的成本及複雜度,並對於企業資料保護提供最完整及方便管理的解決方案。在使用SafeNet「企業資料保護(Enterprise Data Protection, EDP)」後,企業、銀行、付款處理中心及任何需遵守PCI DSS規定的機構,可以達成最具挑戰的要求以保護持卡人的機敏性資料。
相對於其他只滿足單一要求的解決方案,SafeNet是唯一一個能全面保護機敏資料,提供綜合性解決方案的廠商,橫跨資料庫、應用程式、網際網路及週邊設備,因而降低成本及複雜度。利用SafeNet EDP解決方案,不僅能確保達成PCI的要求,且避免不必要的罰則。
動態應用程式安全測試(DAST)通常也被稱做黑箱測試、網路應用程式掃瞄滲透測試(Penetration Testing),主要應用在辨別與分析運作中網站的弱點。在動態應用程式安全測試中,通常使用工具來模擬駭客攻擊的手法,來找出成功攻擊的弱點進行分析。這些工具可以發現網站應用程式的進入點,並自動輸入廣泛且大量的攻擊資料或指令,並觀察其對應的行為來分析弱點。這些工具容易安裝且使用,只需網站應用程式的路徑(URLs)即可。
靜態應用程式安全測試(SAST)通常被稱為原始碼、二進位檔或中介碼分析掃瞄,也叫做白箱測試,主要用來分析原始碼或二進位檔的安全性弱點。透過這種方式,可以依據程式流程與執行狀況,找出其安全性的弱點。在應用程式開發生命週期中,在程式運作前導入此分析技術,將可快速地找出程式的安全性問題,並大幅降低原始碼審查(Code Review)或程式重作(Rework)的成本。SAST從最根本的原始碼層級進行分析,更有效地輔導程式開發者進行應用程式的修正。
資安專家一直尋找在同時運用這兩種技術之下,可以達到(1)讓測試更完整,涵蓋率更高(2)更佳的問題優先權結果(3)降低修正弱點的時間與成本的目標。同時使用這兩種技術的主要困難點在於如何有效率地在測試下,找出在特殊情況下應用程式行為的連結。解除這種連結,組織可以聚焦在大部分關鍵程序的安全性問題,開發者可以更有效率地找出根本原因進行程式修正。
第一代採用混合分析技術的產品為Hybrid 1.0,簡單地結合SAST 和DAST 的分析結果,並產生整合性報告給使用者。這種方式提供使用者簡單的安全性問題列表。產生報告時必須透過人工的方式,在兩種分析結果中,逐一結合,才能找出根本原因與安全性問題嚴重性分級,並產生報告。在第一代產品中,在進行問題分類時,透過靜態分析的結果結合DAST的URL分析結果,同時也提供了輕量級與偶然性的相關性群組分析結果。這種相關性的分析方式目前侷限於可分析的範圍。
主要是因為網站應用程式中的核心商業邏輯可以從URL被抽取出來,並且進行測試。這種抽取方式越來越多產品採用,主要是因為近年來許多網站應用程式是採用比較流行的架構進行設計,如Struts、Spring 與ASP.NET。因此,Hybrid 1.0 主要特色是可以整合兩種分析技術產生報告,並且提供一些比較少見的安全性問題分析結果。Hybrid 1.0 是有所限制的,並沒有辦法廣泛地找出安全性弱點、提高分析準確度,以及降低問題誤判(False Positive)與漏報(False Negative)的情形,並提升問題修正的效率。為了達成提高分析的準確度與效率的目標,仍然需要導入更多不同的分析技術。
HP 和Fortify 合作發表下一代的新混合分析技術,在簡單聚集與偶然相關性下,Hybrid 2.0 運用進階活躍性與相關分析技術去建立動態程式安全測試與原始碼與程式組態設定的關連性。這種技術在DAST 分析引擎的涵蓋率以及分析結果嚴重性分析上,取得了巨大的成果改善,以及大幅降低了分析的誤判率與漏報率。因此可以更有效率地檢視發現弱點的根本原因,並快速修正其問題。
HP 和Fortify 推出的Hybrid 2.0 結合動態與靜態程式安全分析軟體(HP AMP, Fortify SCA & Fortify PTA) 及相關整合功能,形成最佳組合的應用程式安全測試軟體。報告中,不僅改善了已確認安全問題的排序與修復優先權,提供了更完整詳細的攻擊方式,而且更針對弱點分析,進行問題主要發生原因的逐步追蹤。在安全問題的相關結果中,更能取得更多的相關性。對開發者來說,可以取得更多相關的詳細分析結果來進行有效的修正。
HP 和Fortify 在2009 年發佈了其合作成果,使顧客可以巧妙地槓桿操作DAST 和SAST 的最佳組合分析引擎,產生更加聰明分析整合結果與報告。兩家公司發表下一代的產生Hybrid 2.0 ,提供了較佳的安全問題排序組合與更快速的修正方式,來提升軟體產品的生產力與降低成本。Hybrid 2.0 的顧客可以在營運、金融還有信用風險管理下,更能有效率地去建構一個資訊安全防護架構,帶來更大的利益。