由600 多个成员公司组成的OASIS (Organization for theAdvancement of Structured Information Standards,结构化信息标准推进组织),最近发布了基于可扩展标记语言(XML)的安全互通新标准──AVDL (Application Vulnerability Description Language,应用易损性描述语言)。该标准将使信息安全设备相互通信的方式产生巨大变革,有望极大提高对基于Web 应用的保护能力。该标准的1.0 版和相关的XML 模式已得到OASIS AVDL 技术委员会的认可。
诞生于忧患之际
随着各种Web 技术被广泛采用,各种基于Web 的应用变得更富动态性,甚至每日每时都在发生变化,界定应用安全比界定网络安全更复杂。首先,由于许多应用层的易损性(Vulnerability)和安全补丁(Patches)频频发布,企业必须面对各种应用和设备厂商不断发布的新的安全补丁;其次,网络层安全产品对应用层各种易损性的预防能力极低,从而使应用层的安全问题越来越突出。过去,尽管企业将应用安全视为一个连续的生命周期,但并没有可使安全产品相互通信的标准,以致整个安全管理过程有所隐忧。
为了走出安全产品缺乏互通性的困扰,企业用户希望有一种通过XML表述应用安全易损性的方式,这一需求促成了AVDL的诞生。AVDL定义一种共享有关环境变化和网络攻击信息的模式,即编制一种标准的XML描述语言,以应用安全的整个生命周期内各种安全工具能够使用和识别的方式,定义、分类和界定应用易损性。例如,评估工具能够为特定应用编制一种能被攻击预防工具读出的AVDL文件,从而给那种特定应用推荐预防攻击的最佳对策;补救工具能够使用AVDL文件推荐解决问题的最佳行动过程,而报告工具能够用AVDL 报告易损性范围。
据估计,在所有恶意攻击所造成的易损性中,应用易损性约占75%,AVDL能对付这种攻击,让企业日复一日地进行应用安全风险管理。对于网络管理员来说,AVDL能让他们通过导入从应用扫描器进入SMTP协议原始命令码和工作原理如何隐藏你的踪迹用SYN包特性增强网络安全关注内网安全:网络卫士LANguard详解堆栈溢出从入门到提高已公布的信息技术安全标准设计安全的Linux网络Windows 2000 安全设置检查清单国货精品----NetHackerII输入法漏洞之完全心得相关链接共 103 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1094102410#"防火墙的易损性评估,利用扫描工具快速检测其应用受各种恶意攻击所暴露的易损性,而后防火墙配置适当的规则来解除其易损性。过去,这一过程比较复杂,AVDL会让这一过程自动完成(图1)。
超凡的核心技术
AVDL 提供一种包含大量信息的XML 模式,以充分描述应用的安全属性和易损性。该模式中所包含的基本概念是应用层事务处理,其核心技术是探测(Probe),它描述Web 应用中所包含的易损性,同时描述客户机与应用SSH使用及协议分析ping参数几种流行的入侵工具与讲解[转]学习Linux网络编程(1) 国内最流行十大木马查杀IIS多数漏洞的整理对PHP文件上传存在漏洞的解决办法Windows 2000文件加密系统(EFS)设计安全的Linux网络在FreeBSD上运行Windows软件相关链接共 262 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1094102410#"服务器之间的多梯次信息交换。所定义的标记可让HTTP 在各抽象层(原始字节流或对HTTP标题结构的分析),详细通报易损性信息,并可规定浏览器与服务器之间的有效和预期的请求响应交换,甚至还可规定易损性利用。
浏览器与服务器之间的请求响应交换称作“横向”探测,它提供大量信息,如目标Win2000 IP路由应用解析Java服务器端编程安全必读防火墙功能指标详解浏览图片就有可能中木马!看看破解者们是怎么样拿到密码的 跨站脚本执行漏洞详解PHP 预设安装法在 NT/Apache 上所产生的系统漏洞Linux下的代理服务器设置一五一十谈IIS安全机制TCP Chargen DoS攻击及其对策相关链接共 112 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1094102410#"URL、链接、饼图和其他标题,以及查询或形式参数等。利用横向探测,能使安全利用对策的执行自动化;而易损性利用意即易损性探测,它着重发现可疑的结构,并提供详细的易损性规范, 包括人可读的描述和机器可读的评估信息,如易损性安全、适用性及其历史记录。
易损性探测采用的探测格式与会话相关联,这种格式能够包含许多容器(Container),每个容器描述Web应用的一种易损性。此外,易损性探测还包含多种测试探测程序。例如,先测试一般结构化查询语言(网络信息安全概况port list(from neohapsis)深入探索MS SQL Server 2000网络连接的安全问题 网络保护和入侵探测产品SessionWall-3技术概览公开OICQ所有通讯协议mysql安全问题(匿名用户)的一点心得微软警告SQL Server存在安全漏洞SQL Server口令密码对照表Microsoft 安全公告 Windows 2000漏洞集锦相关链接共 41 篇','相关的链接')" href="http://www.safechina.net/article/showarticle.php?id=1094102410#"SQL)注入,而后测试具体查询语言的注入。易损性探测还包含单个AVDL 文件中的惟一识别和表示何时发现易损性的时间标记,以及表示怎样发现易损性信息的测试探测,以便在需要时能够重复测试。由于易损性容器的惟一性,探测格式能使各种安全装置精确和清楚地相互通信,从而在应用生命周期的每一阶段生成无缝隙综合的安全Web应用环境,包括开发、测试、试验、生产和审计。
五大用途初露端倪
从目前确认的情况看,AVDL 大体有5 种用途。
用于攻击防范工具。AVDL 用在Web数据中心,可使攻击防范工具起类似防火墙的作用。这种攻击防范工具一般置于Web应用的前端,对所有的请求执行深入检查,阻挡传统网络防火墙不能防范的应用层攻击。
用于应用易损性评估工具。采用AVDL,易损性评估工具将能够在任何时间,更详细地描述应用易损性的状态。于是,一个企业能够使用多种易损性评估工具,在AVDL的支持下从统一的信息源提取信息。这种信息将用于增强攻击防范工具的效能,提高补救工具的成功率和有效性,通过对操作和管理人员提供重要的附加信息,进一步增强事件管理和报告工具的价值。
用于补救工具。采用AVDL,补救工具将能处理基于XML 的描述现有易用性和必需的纠正措施的输入数据,并适时利用该信息,而后自动生成补丁。 当易损性得到纠正时,补救工具还能用AVDL将此信息回传给攻击防范网关,从而能修改其补救对策。
用于安全事件管理工具。AVDL将对当前应用安全易损性及其对企业的潜在影响,提供标准的通信工具。因此,事件管理工具将能够更有效地将应用安全易损性与实际安全事件关联,使其更容易区分补救措施的优先等级,并在攻击防范网关中建立应对策略。
用于开发工具、应用服务器和ERP销售商。作为一种应用易损性描述的标准格式,AVDL将在整个应用安全生命周期内用于许多其他的工具。例如,将AVDL用作输入信息,开发工具将能把这种信息包括在开发阶段的“标准”报告中。ERP销售商能将AVDL用作通报可能易受攻击的配置的通信格式,对用户来说,更容易保证适合其独特环境的安全部署。对于审计而言,审计人员只需用极少的时间了解来自各种信息源的报告,更多的时间则用于研究了解结果,从而减少应用安全风险,降低生产成本。
一石激起千层浪
如前所述,OASIS 推出AVDL 的目的在于帮助企业,通过XML 对应用安全的易损性、对策和事件提供更加一体化的通信方式,管理整个应用安全生命周期。因此,AVDL一出台便在业界引起强烈反响,先后有5家大型市场研究公司和10 多家厂商和终端用户表示响应和支持。
Gartner 集团等市场研究公司对AVDL给予了高度评价。Gartner集团对AVDL的评价是:“AVDL意义重大,显然有益于企业用户”。Spire 安全公司则认为:“AVDL会帮助安全管理人员对新发现的软件受攻击的易损性,更好地采取对抗措施”。Yankee集团则称赞道:“AVDL 是更好地帮助企业管理应用安全风险之良策”。
鉴于AVDL 对于应用安全的重大作用,引领应用潮流的机构和厂商,如美国能源部计算机偶发事故报告能力(CIAC)管理机构等10 多家政府机构和企业已公开宣布支持AVDL,并已采取实际措施。例如美国能源部和国家核安全管理方面的中央安全偶然事故反应机构,计划对新的安全事故反应门户网站赋予AVDL能力(图2)。CIAC 的作用是监控每日的安全告警,对用户发布相关信息,并帮助用户对新的威胁迅速作出反应。过去,这一过程是靠繁重的人工完成的,现在CIAC 将首次采用基于具有AVDL探测功能的安全事故反应门户网站,自动描述以AVDL格式发布的新的应用安全告警, 并将此信息迅速分发给安全管理员作出处理。
再如SPI 通用动力公司已把AVDL 1.0规范综合到它的WebInspect评估工具中。WebInspect以AVDL格式能更加容易地输出报告,AVDL 描述显示某种应用的合理结构和当前的易损性,能让用户以AVDL格式导出综合性应用信息。该公司根据自己应用AVDL的体会认为,企业的每一种应用平台、开发工具,以及定制和组装应用软件,都能生成简单的AVDL文件,以显示安全应用的合理参数。通过阅读这些文件,任何顺应AVDL的安全工具都能自动确保对每一种特殊应用的安全保护(从开发阶段到批量生产)。
NetContinum 公司也已把AVDL 综合到产品线中,其新的“AVDL建议向导”为代表作。该向导具有4个功能:能读出新的易损性告警,并对预防新的安全威胁即时推荐需采取的对策;AVDL描述帮助安全管理员正确应用所推荐的每一种对策;安全管理员自行控制只接受其需要应用的建议;以默认“被动”方式确定自动生成的规则,完全避免损害合理业务量的风险。
AVDL的出台大有一石激起千层浪之势,一些公司不甘落后,纷纷推出其顺应AVDL 的产品。几家厂商已在2004 年的RSA会议上演示了各自产品的AVDL互通性,以展示AVDL自动化技术趋于成熟并商用的可行性。政府、民营和公共领域宣布支持AVDL的潮流,即将达到一个高潮。
