雲應用程式的安全性挑戰

創新速度是企業業務成長的動力。在創新中，包括Kubernetes和OpenShift在內的雲原生技術，雖能幫助企業加快創新並提高敏捷性，但批量自動化部署也帶來了風險，如何針對批量自動化部署過程中所產生的漏洞進行管理，正是其中的一個關鍵。現今大部分的企業在靜態應用程式安全測試（SAST）方面採用成熟的作法，透過檢查原始碼來尋找漏洞，但此方法在一變動頻繁的新環境中顯然已不足夠，且目前的容器安全掃描工具也無法即時、全面應對新的安全威脅。

兩年前當Log4Shell漏洞被公開後，IT部門首要任務就是盤查受影響的服務並迅速進行修補，但企業的資訊系統錯綜複雜，零時差漏洞就是與時間賽跑，雖然大家快速地提出應變措施，但企業還是提心吊膽，因為誰都不能保證這是最後一次。

當團隊疲於盤點、解決程式中的問題時，或許也應思考如何保護應用程式不受漏洞的利用而被攻擊。如果沒有即時的保護機制，唯一可能採取的措施是在攻擊發生後進行舉證調查。最壞的情況下，企業必須向客戶通報安全漏洞和被竊盗的數據。除了事後的追蹤與舉證，當前的攻擊檢測也還存在一些缺陷，例如常被採用的WAF機制，WAF需要持續進行大量的配置工作，若設定過嚴謹則容易產生誤報，且無法應對未知的攻擊。

相較於入侵檢測系統（IDS/IPS），WAF主要著重於應用程式流量的監控、過濾或阻擋。但WAF在某些情況下存在明顯的弱點，如WAF是基於規則來運行，配置規則和潛在的排列組合需要大量的人力，導致團隊幾乎無法跟上新威脅和高度動態的應用程式環境。

而RASP解決方案適用於應用程式內部或周邊，分析應用程式的行為和流量。當檢測到問題時，可以識別並阻止單個請求。儘管RASP的概念很有吸引力，但現有的RASP方案亦存在一些待克服的問題，例如過於依賴Agent技術，在大規模、異質且高度動態的環境中提高了部署挑戰。

去年，Log4Shell的漏洞在公布最安全的版本前，和所有漏洞管理解決方案一樣，尚未有穩定版本釋出前都會有各種取捨，在與時間賽跑的情況下，第一步企業需要止血，接著才是進一步的診斷與治療，當新漏洞被公告時，企業應高度專注於營運環境中正在運行服務的「實際影響範圍」與「修補優先順序」，以免讓駭客有利用的機會。

如先前所述，RASP會是一個好的、即時的解決方案，且能進一步建議程式開發人員修改的優先順序，如此便能在與時間賽跑的狀況下協助企業因應。當然，也必須關注執行時所造成的系統資源耗用性，在資源耗用可控的同時偵測漏洞、快速確認影響範圍進而阻斷，這才是IT最高CP值的首選！

＜本文作者：何玉雲現為叡揚資訊系統直屬事業群總監＞