如何保护现成的web应用程序？

Question

作为一项工作，请考虑以下几点：

如果您不得不部署现成的web应用程序，而您不确定供应商的安全编码实践，那么哪些技术或技术值得应用或部署以进行某种保护？

假设如下：

• 您无法访问源代码，也无法轻松地影响更改。
• 您没有资源、资金或技能，无法对单个应用程序进行渗透测试或漏洞评估，但可能会有资金用于可跨一系列web应用程序使用的保护技术。
• 您没有能力否决应用程序的部署。

更新:认为SysAdmin而不是InfoSec专业，也就是说，您对安全性有一些了解，但这不是您的主要工作。

在没有安全团队的情况下，应该在SysAdmin级别考虑哪些方法、技术或技术可以帮助他们在晚上睡得更好？

Answer 1

首先是我的哀悼。这听起来真令人沮丧--在事实发生后，不得不在很少或根本没有分析时间的情况下，用黑匣子的商业产品，在选择什么产品和部署什么时候，得到修复和强制处理，就像是一个安全怪人的噩梦。如果这是一个真实的情况，我很抱歉--这不是我想要做的，我的第一个建议是想办法让自己摆脱这种状况。这对一个安全在IT需求背后扮演重要角色的组织来说是一个响亮的声音。对于良好的安全实践来说，这总是一个不好的例子，这可能是您的组织的第一个安全问题。

在改变游戏的组织方法上失败了，以下是我的常识想法。

1. 了解产品提供的身份验证和访问控制。不是一个完整的笔试，只是进行它，测试它，阅读什么文档你可以得到，并了解它是如何结合在一起的。这至少会给出一些关于有保护作用的弱点的线索。
2. 应用程序级防火墙，可以监视和检测传入和传出HTTP通信中的问题。挑战-这些通常并不便宜，它们需要时间和精力来调整。他们很可能有一个不可接受的数量的错误，立即出现，你将需要时间来使它正确设置。在部署前计划大量的测试时间，并尽可能多地处理用于设置测试场景的有效用例，这样在部署时，您在操作功能方面的风险非常小。
3. 好的备份策略--想出一种在过程中尽可能少的数据快速部署和松散的方法。从你说的，新的应用程序是不值得信赖的，但也是必要的--所以要知道它会被黑掉，并想出一种恢复的方法，使停机时间最小，对你的业务任务的影响也尽可能小。
4. 隔离它。不要把这个不受信任的应用程序放在一台机器上，这台机器也拥有经过良好审查的系统。同样，如果可能的话，保持数据的隔离性，如果您已经将这些数据与其他业务数据相结合，则使用某种带外传输机制。当您必须这样做时，也要考虑数据可能已损坏，并在那里建立了保护机制。如果它是基于公司其他领域使用的访问控制系统构建的，请确保web应用程序具有自己的特权查找功能，并且该帐户保持在最低限度的功能，没有更改/修改权限。同时-记录任何发生在这个系统接触到其他系统的地方，这样你就有了一个很好的记录。
5. 慢慢地、肯定地建立你的知识库。我可以看到一家公司在安全审查上犹豫不决，如果安全性不是他们的首要任务，但似乎没有人反对管理员在系统中了解更多的信息。从小而便宜的拖网开始，然后看看你能做些什么，从提供产品的公司那里获得免费的支持。一些公司会对免费的客户反馈和安全问题的诊断感到高兴。我成功地获得了相当可观的免费技术支持，仅仅是因为我的魅力、自信和非评判性。

这就是我的想法。我的基本前提是--把这件事当作你的系统中一个潜在的危险漏洞，尽你所能保护系统，保持所有功能正常运行，建立足够的知识和保护机制，最终你可以提升对产品的信心。

Answer 2

我认为你能采取的最重要的行动是扩大/增长监测和观察能力。

如果您知道或怀疑存在漏洞，而没有适当的控制来防止攻击，那么您真正想要的是尽快了解是否发生了一些不好的事情。

很会伐木。计划花时间查看日志。你对所涉及的系统的行为越熟悉，你就越能更快地识别出奇怪的活动--你的大脑就是最终的模式匹配者。(顺便说一句，考虑到人们普遍认为所有的预防技术/工具/产品都会在某一时刻失效，这是件好事。)

通过利用流行的开源工具，您可以开始很便宜：

• ModSec (已经提到)工作得很好--看看Ivan的书(modsec的作者) https://www.feistyduck.com/books/modsecurity-handbook/。Ivan将ModSec描述为“其他时候我会称它为HTTP入侵检测工具，因为我认为这个名称更好地描述了ModSecurity的功能。”对ModSec进行调优并获得熟练程度需要时间，但它可以为您提供所需的可见性。
• 用于HIDS的OSSEC。您甚至可以配置OSSEC来警告ModSec事件。
• 存储网络流记录，以便在需要时帮助您进行事故分类/取证。您可以查看像FlowMatrix这样的免费网络行为分析工具。
• 如前所述，网络分割以防止成功的攻击者移动横向是明智的。

基本上，积极监控不良行为。否则，您可能永远不知道系统是否被破坏。让企业主知道攻击的次数(来自监视)也可以帮助您赢得预算。

Answer 3

如果您必须盲目地保护web应用程序，Web应用程序防火墙(例如，Apache上的mod_security )可能是有用的。

不幸的是，除非这是一个处理金融交易的关键核心系统，否则即使在审计中也可能不会将其作为一个问题提出。我和Iszi在一起--交叉你的眼睛，手指等等。