可用性是一种消遣，而我们却沉迷其中

在一个完美平衡的世界中，可用性和安全性应该是相等的。 当然，applications的用户对其数据的安全性的关心程度与他们对数据访问权限的关心程度一样。

我们都知道，这不是一个完全平衡的世界。 由于可用性和性能问题，用户删除应用程序并抛弃某个品牌的可能性与由于数据泄露一样大，甚至可能更大。

哦，他们仍然因违约而大吵大闹。 但它通常会花费公司的钱而不是专门用户的钱。

这种二分法反映在F5 实验室的《2018 年application保护报告》中安全专家向我们报告的优先事项中。 对于 CISO 来说，首要关注的问题并不是（您可能根据他们的头衔就怀疑到的）安全性。 在之前以 CISO 为重点的调查“ CISO 角色的演变及其对企业的重要性”中，大多数 CISO 表示，他们最关心的问题是可用性，防止application停机是其组织的首要任务。

这也反映在我们即将发布的网络自动化状况报告中。 当被问及使用什么指标来衡量个人和团队的成功时，59％的安全从业人员将“网络正常运行时间”列为首要考虑因素，而近一半（49％）的安全从业人员将“application正常运行时间”列为第二考虑因素。

可用性一词的内涵就是性能。 速度被视为可用性的一个组成部分，而当涉及到检测产生结果的攻击时，安全性常常被忽视。 由于检测恶意代码和数据的关键数据检查成本高昂且会产生延迟，因此其做法通常被视为适得其反。

对可用性的关注对于攻击者来说是一项资产。 F5 实验室的报告指出，攻击者意识到目标的可用性是首要考虑因素，“攻击者还会选择在管理员分心时同时发动 DDoS 攻击，以掩盖数据窃取和欺诈攻击。” 这种被称为“烟幕”的技术并不是什么新鲜事。 正如我们在 2017 年所指出的那样，组织越来越多地受到容量激增的 DDoS 攻击，以隐藏攻击者的真实意图。

而消费者也为此付出了代价。

可用性作为一种消遣

越来越多的攻击者利用我们对可用性的关注来转移注意力。 这很令人不安，因为攻击者正在加强他们的攻击手段，使用他们工具箱里的所有工具来寻找穿过网络、基础设施和applications的路径，以到达隐藏在大门之外的宝库：数据。 问题是，攻击者不仅仅利用阻碍他们实现目标的用户和系统。 今天他们也使用数据本身。

在 F5 Labs 的《2018 年application保护报告》中，研究人员分析了来自各种来源的漏洞和攻击数据。 结果并不令人意外，但却令人不安。

2018 年第一季度，经分析的 70% 的违规记录表明网络注入攻击是其根本原因。 如果你一直关注这一点，这并不奇怪。 在过去十年中，23% 的所有违规记录表明初始攻击媒介是 SQL 注入。 它非常普遍，以至于它在 2017 年 OWASP Top 10 中名列第一。

事实上，针对基于 PHP 的 Web 应用程序的攻击中，近一半 (46%) 都是基于注入的。 安全专家应该注意到 PHP 无处不在。 Builtwith.com跟踪了用于构建互联网应用程序的技术，它指出，全球前一百万个网站中有 43% 都是使用 PHP 构建的。 美国拥有近 1800 万个此类网站，其中前 1 万个网站中近一半（47％）使用该语言。

这是一个很大的领域，攻击者可以从中选择目标，而且他们也确实这么做了。 报告显示，在遭受攻击的 21,000 多个独特网络中，58％ 针对的是基于 PHP 的网站。

数据是一个不断增长（且有利可图）的目标

为了避免你指责所使用的语言，值得注意的是，F5 实验室的研究人员也警告要密切关注反序列化攻击。 此类攻击并不针对特定语言，而是专注于数据本身。 报告摘要：

“当应用程序将其数据转换为某种格式（通常是二进制）以便进行传输时，就会发生序列化，通常是从服务器到 Web 浏览器，从 Web 浏览器到服务器，或者通过 API 从一台机器到另一台机器。”

通过在数据流中嵌入命令或篡改参数，攻击通常会不加过滤地直接进入application。 无法过滤或清理数据的application或application组件可能受到漏洞的攻击，Apache Struts 就是这种情况。 反序列化攻击被认为是一种足够大的威胁，因此 OWASP 去年将其列入了十大威胁之列。 鉴于有 1.48 亿美国人和 1520 万英国公民受到此类漏洞的影响，由于反序列化攻击在野外的使用相对较少，因此值得给予更多的关注。

这两种威胁都有一个共同的主题——你也不能相信数据。 无论是故意修改还是搭载合法请求，攻击越来越多地隐藏在数据流中。

但是，为了避免你过于关注应用程序及其数据，请不要忽视堆栈的其余部分同样容易受到攻击并且可能成为攻击的目标。 继续依赖弱加密（例如已淘汰的 SSL 和 TLS 1.0）令人沮丧。 这些方法已被淘汰，因为它们充满了不安全因素，并且使攻击者更容易利用它们来获取访问权限。

正如报告所指出的，“新的、被命名的 TLS 协议漏洞大约每年发布两次。 然而，除了 Heartbleed 之外，大多数已命名的 TLS 协议漏洞都是学术性的，很少用于实际破解。 2014 年涉及的最大项目之一是社区卫生系统 (CHS)。 当攻击者利用 Heartbleed 漏洞时，CHS 丢失了近五百万个社会保障号码。”

威胁低，风险高。 没有人希望成为这种罕见的情况，但最终，还是有人会成为这样的人。

安全性和可用性应同等重要

现实情况是，我们正进入一个不信任任何人的时代。 我们必须深入研究堆栈，寻找旨在禁用和规避应用程序和数据保护措施的攻击。 我们必须将application保护视为一个连续体，不断评估整个application堆栈的状态——从网络到基础设施再到服务。 这意味着我们要像重视传输数据的速度一样重视数据的安全性。

我们需要记住安全规则零： 永远不要相信用户输入。 我们还需要记住用户输入包括数据。 这意味着加强安全性，包括检查传入数据并找到抵消对性能和可用性的潜在影响的方法。

这意味着我们要认识到可用性有时只是一种消遣，我们不能陷入其中。 安全性值得（并且需要）与可用性和性能处于同等重要的地位。 CISO 的首要任务应该是安全性，而不是可用性。

因为如果 CISO 不代表安全出力的话，谁会呢？
 

您可以在F5 Labs 的《2018 年application保护报告》中找到更多见解和分析，包括有关整个application堆栈中存在的攻击和保护的有用指导。