随着云大物移的发展,应用的形态与需求正在经历变革,笔者认为接下来应用安全的趋势在于一技一道, 技术发展持续的围绕API理念创新, 方案、产品及服务的设计理论继续逐步迈向DevOPS,接下来行文一篇,愚做以解析。
网络的第一性原理应是为连接二字,网站是伴随着互联网的出现而出现,作为连接自然人与虚拟世界的桥梁。而当下,这座桥梁的概念不再局限于Web,它迅速的增加了车联网应用、物联网应用以及移动应用。当下信息化的浪潮与科技的进步都对企业提出了更多的业务需求,而无论是劳动就业人口的下降还是从业人员的薪资上涨,都在导致当前程序员的比例无法去匹配近乎爆炸的需求。因而,利用好DevOPS的理念,打破部门墙,通过自动化提升效能,以及利用API 发布,最小化迭代与复用,将会成为未来应用开发的主流趋势。
而对于为客户提供应用安全的厂商来说,则应看到另一个重要问题,DevOPS目标在于引导公司相关流程变革为可重复性与自动化,虽然当下已有众多最佳实践可以选择,但安全却直接将这条链断开,推回起点。 这里引用Tinfoil Security CEO的一页PPT,可以更详细的看到这个问题的产生,不同部门目标的不匹配,导致在合作中,产生互相牵扯的反作用力。
因而,笔者认为在未来为客户带来价值的厂商,一定要将应用安全的产品与方案与客户DevOps平台进行适配,融入整个研发体系之中。
另外一个API也不能幸免, 由于API高内聚、低耦合的特性,既降低了程序员、团队以及公司间的交流沟通成本,又可以快速迭代,更新或重建业务。 引用Akamai的数据,当前在公有云的流量中,83%的流量是API请求,1/3 来自于web浏览器,另外的2/3 可能就来自我们的家庭电视与智能冰箱中。
2018年,绿盟科技在应对API 绕过、注入以及跨站等的攻击层出不穷,更有甚者,在2018年底至今,绿盟科技WEB防火墙设备已成功解决了国内外多起利用API进行大规模应用层DDoS攻击的事件,这一显著的变化,让绿盟科技的研发团队开始关注API安全,评估当前产品的防护能力在新形态下对客户的保障程度。 整体而言,API便利的同时伴随着脆弱,针对API的攻击之所以成为主流,是因为API与传统的WEB网站相比,攻击面没有减少。而与此同时,新增的API往往就代表着新的业务上线,而新业务的可攻击点会与在开发阶段对安全的重视程度成直接反比,同时API简单的特性,让部分API的授权形同虚设,攻击者可以非常方便的进行攻击调试,花费更少的时间和代价得到成功。因而,后续API安全的防护能力,应该具备对于API的授权管理、调用监控等功能。
云大物移时代下,企业的业务正在经历变革,RSAC也敏锐的观察到了这一点,应用安全领域2019年几乎每一个主题都伴随着业务的形态变化,而这里笔者认为,安全公司要做好应用安全的保障,相关产品体系的战略目标就应该围绕着DevOps及API进行设计,从而实现共赢。