只有 50% 的應(yīng)用程序安全問題是與代碼相關(guān)的缺陷。另外50%是設(shè)計(jì)級(jí)問題。如何解決這些問題：通過架構(gòu)分析。

Verizon對世界各地發(fā)生的大量違規(guī)和攻擊樣本進(jìn)行年度評估，并分析導(dǎo)致重大攻擊的最常見問題和關(guān)鍵領(lǐng)域。在本文中，我們將討論Verizon報(bào)告中的三種特定安全事件模式，以及架構(gòu)分析評估如何幫助組織在軟件開發(fā)生命周期（SDLC）的早期檢測和預(yù)防這些問題。

銷售點(diǎn) （POS） 入侵

銷售點(diǎn) （POS） 入侵是指攻擊者試圖通過破壞運(yùn)行 POS 應(yīng)用程序的計(jì)算機(jī)/服務(wù)器來捕獲支付數(shù)據(jù)。此類攻擊可能源于社會(huì)工程攻擊（如電話以獲取憑據(jù)）到涉及多個(gè)步驟的更復(fù)雜的機(jī)制。過去三年的趨勢顯示POS攻擊持續(xù)增長（2013年有173次，2014年有196次，2015年有396次）。

通常，POS 入侵是由于使用弱身份驗(yàn)證控制來遠(yuǎn)程訪問存儲(chǔ)敏感信息（如用戶密碼或信用卡詳細(xì)信息）的系統(tǒng)。對于較小的組織，攻擊者通常通過猜測或暴力破解密碼來對 POS 系統(tǒng)進(jìn)行直接攻擊，這可能是因?yàn)槊艽a復(fù)雜性策略較弱。對大型組織的攻擊通常包括多個(gè)步驟，攻擊者在以 POS 為目標(biāo)之前會(huì)破壞其他系統(tǒng)。

過去妥協(xié)的一個(gè)主要因素是使用默認(rèn)憑據(jù)，但最近的轉(zhuǎn)變是被盜憑據(jù)。導(dǎo)致這些違規(guī)成功的其他因素是 POS 系統(tǒng)中普遍缺乏安全控制和審核日志、網(wǎng)絡(luò)分段不足以及 POS 設(shè)備軟件中的漏洞。

體系結(jié)構(gòu)分析評估可以幫助檢測這些弱點(diǎn)，并提供補(bǔ)救指導(dǎo)，以防止它們在違規(guī)中被利用。架構(gòu)分析有助于識(shí)別薄弱或缺失的安全控制，因此是從各個(gè)角度分析對 POS 系統(tǒng)的訪問的有效方法。例如，它可以評估密碼復(fù)雜性策略、憑據(jù)存儲(chǔ)和多重身份驗(yàn)證控制，以確定它們是否足以防止對 POS 系統(tǒng)的這些類型的攻擊。該分析還可以識(shí)別對其他組件和系統(tǒng)的依賴關(guān)系，以突出顯示在其他內(nèi)部系統(tǒng)遭到入侵時(shí)可以利用的弱點(diǎn)。根據(jù)Verizon的報(bào)告，這是大規(guī)模POS漏洞的常見攻擊媒介。

架構(gòu)分析不僅可以識(shí)別技術(shù)故障，還可以識(shí)別面向流程的漏洞。例如，它可以分析添加或修改用戶訪問權(quán)限的過程是否必須遵循一系列批準(zhǔn)和驗(yàn)證檢查，以及是否審核這些檢查以避免濫用。

內(nèi)部威脅和權(quán)限濫用

最突出和最常見的安全事件模式之一是內(nèi)部威脅。內(nèi)部人員通常在其組織內(nèi)具有高度的信任度，因此更容易訪問關(guān)鍵信息，例如信用卡號(hào)、SSN 和銀行帳戶信息。因此，缺乏集中的數(shù)據(jù)分類和 PII 清單，加上不適當(dāng)?shù)脑L問控制，很容易導(dǎo)致災(zāi)難。

為了履行其職責(zé)，某些用戶需要不時(shí)提升的權(quán)限來訪問應(yīng)用程序存儲(chǔ)的敏感數(shù)據(jù)。但是，持續(xù)且未經(jīng)審核的特權(quán)訪問可能會(huì)導(dǎo)致這些內(nèi)部人員濫用的風(fēng)險(xiǎn)增加。

另一個(gè)風(fēng)險(xiǎn)是，數(shù)據(jù)庫特權(quán)用戶的意外更改或配置錯(cuò)誤可能會(huì)向惡意最終用戶提供敏感數(shù)據(jù)訪問。Verizon違規(guī)報(bào)告指出，大多數(shù)內(nèi)部違規(guī)行為都是由最終用戶進(jìn)行的，而不是開發(fā)人員或系統(tǒng)管理員。蓄意內(nèi)部攻擊的原因包括個(gè)人經(jīng)濟(jì)利益和沮喪的員工通過泄露敏感的內(nèi)部信息來發(fā)泄不滿。

體系結(jié)構(gòu)分析評估可以幫助識(shí)別駐留在應(yīng)用程序中的數(shù)據(jù)，對數(shù)據(jù)進(jìn)行適當(dāng)分類，并評估現(xiàn)有的控件是否足以保護(hù)數(shù)據(jù)。它可以進(jìn)一步評估參與者（內(nèi)部人員和外部人員）及其特權(quán)，以確保他們遵循最小特權(quán)和職責(zé)分離原則，這有助于防止特權(quán)濫用。最后，架構(gòu)分析還可以幫助識(shí)別應(yīng)用程序日志記錄和審計(jì)跟蹤中的缺陷，這在發(fā)生內(nèi)部違規(guī)時(shí)作為威懾和取證調(diào)查的寶貴信息來源都很重要。

網(wǎng)頁應(yīng)用攻擊

Verizon的2015年數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）顯示，9.4%的攻擊與Web應(yīng)用程序有關(guān)。這些攻擊的原因包括缺乏雙因素身份驗(yàn)證、配置錯(cuò)誤、暴力攻擊以及缺乏導(dǎo)致數(shù)據(jù)泄露的流量出口過濾器。

滲透測試和代碼審查是組織用來識(shí)別 Web 應(yīng)用攻擊的主要工具。但是，您可以使用體系結(jié)構(gòu)分析來補(bǔ)充這些評估。架構(gòu)分析審查評估關(guān)鍵的安全控制，以防止應(yīng)用程序受到潛在的 Web 相關(guān)攻擊的危害。這些控件的一些示例包括身份驗(yàn)證、授權(quán)、加密、輸入驗(yàn)證、輸出編碼、審核/日志記錄、監(jiān)視/警報(bào)、會(huì)話管理、運(yùn)行時(shí)環(huán)境驗(yàn)證和密碼存儲(chǔ)。

評審不必局限于安全控制的驗(yàn)證。它還可能包括配置問題。良好的體系結(jié)構(gòu)分析可以指出與安全配置錯(cuò)誤和缺乏環(huán)境隔離相關(guān)的問題。

架構(gòu)分析還可以在識(shí)別許多與 Web 應(yīng)用程序相關(guān)的漏洞方面發(fā)揮關(guān)鍵作用。例如，應(yīng)用程序中通常發(fā)現(xiàn)的兩個(gè)主要問題是SQL注入（SQLi）和跨站點(diǎn)腳本（XSS）。定義明確的體系結(jié)構(gòu)分析評審可以評估應(yīng)用程序是否采用有效的安全控制，并遵循最佳實(shí)踐來防御這些和其他常見攻擊模式。

除了這些標(biāo)準(zhǔn)攻擊模式之外，更高級(jí)的體系結(jié)構(gòu)分析評審可以評估特定于系統(tǒng)的攻擊并執(zhí)行依賴關(guān)系分析，以發(fā)現(xiàn)與應(yīng)用程序所依賴的框架和組件相關(guān)的漏洞。保持這些漏洞的清單并部署一個(gè)流程，確保它們保持最新狀態(tài)并定期修補(bǔ)安全問題，對于應(yīng)對機(jī)會(huì)主義網(wǎng)絡(luò)攻擊大有幫助，這些攻擊占Verizon報(bào)告中分析的所有網(wǎng)絡(luò)應(yīng)用程序妥協(xié)的四分之三。

在 SDLC 中更早地保護(hù)應(yīng)用程序

統(tǒng)計(jì)數(shù)據(jù)顯示，雖然50%的安全問題是與代碼相關(guān)的缺陷，但其余50%是設(shè)計(jì)級(jí)問題，僅通過代碼審查或滲透測試無法有效發(fā)現(xiàn)。架構(gòu)分析可以通過分析用于實(shí)現(xiàn)應(yīng)用程序的基本設(shè)計(jì)原則、架構(gòu)、安全控制和流程，幫助您在 SDLC 中及早發(fā)現(xiàn)缺陷。

體系結(jié)構(gòu)分析需要深入了解應(yīng)用程序體系結(jié)構(gòu)。評估包括與技術(shù)團(tuán)隊(duì)成員（如架構(gòu)師、首席開發(fā)人員和設(shè)計(jì)工程師）的訪談，以了解應(yīng)用程序設(shè)計(jì)和體系結(jié)構(gòu)。隨后通常進(jìn)行頭腦風(fēng)暴練習(xí)，以發(fā)現(xiàn)潛在的弱點(diǎn)。除了識(shí)別缺陷之外，這些評估還可以根據(jù)業(yè)務(wù)影響對風(fēng)險(xiǎn)進(jìn)行分類，并幫助組織相應(yīng)地確定風(fēng)險(xiǎn)的優(yōu)先級(jí)。

通過部署架構(gòu)分析，您可以在應(yīng)用程序和系統(tǒng)中發(fā)現(xiàn)并防止設(shè)計(jì)級(jí)缺陷被犯罪黑客或內(nèi)部人員利用。我們希望您不會(huì)成為明年版Verizon數(shù)據(jù)泄露調(diào)查報(bào)告中統(tǒng)計(jì)數(shù)據(jù)的一部分。