软件安全：使用ARA寻找软件缺陷

导致安全问题的软件缺陷主要有两种：部署中的漏洞和设计中的缺陷。现在软件安全市场中的大部分重点都放在发现和修复漏洞上，这主要是因为自动代码审查工具让这个过程变得很简单。但其实软件设计和架构中的缺陷问题也占据很大比率，它占所有安全问题的50%。

简单地说，如果我们想要解决软件安全问题，我们就需要把更多注意力放在缺陷上。

使用ARA寻找软件缺陷

多年来，我们都在致力于软件风险分析和设计审查。当我们在1997年第一次开始审查系统的安全性时，我们采用了专业的方法--三个专业人士在房间里使用一块白板来审查。而现在，当我们深入检查软件架构中的缺陷时，我们采用的是被称为架构风险分析(ARA)的方法。

ARA包括四个步骤。步骤0(我们通常是从0开始的，因为我们是奇客)是获取一个架构图。这可能听起来很愚蠢，但不管你信不信，从开发团队获取相关的最新的架构图比听起来更困难。例如，一些开发团队指出“代码就是设计”，对此，我们不敢苟同。

这个步骤的最终目标是创建软件系统的单页总览视图。单页总览视图非常重要，因为我们想要“森林级”的软件视图，避免“只见树林不见森林”。我们都知道，漏洞出现在树木级，而缺陷则在森林级。我们不想要看到大堆代码，我们不想要UML，也不想要防火墙配置网络地图。在很多情况下，我们可以通过询问软件架构师、开发人员和测试人员自己绘制一页纸的总览图。

你的图表需要包含一些重要元素，其中包括，但不限于，DAO/持久层、业务逻辑/业务规则、安全功能、工具包(WSE、WCF、Ajax)、中间件、web服务、云计算API、缓存和分发。

当你得到架构图后，你需要进行三个专门的分析步骤：1)已知攻击分析，2)系统特定攻击分析，以及3)相关性分析。(我们重新命名了ARA的这三个步骤以便用户更容易理解)。

1)已知攻击分析很容易理解，正如其字面意思。获取与你的架构相关的已知攻击列表，并逐一进行检查。微软的STRIDE方法(有人将其误叫成威胁建模)就是一个很好的例子。STRIDE是欺骗、篡改、否认、信息泄漏、拒绝服务和特权提升的缩写。这就是微软已知攻击清单。

已知攻击分析的关键是要知道一些已有的攻击。如果你能制定一份设计层面的攻击的列表，这就已经成功了一半。STRIDE可能适用于操作系统供应商，而你需要根据自己的市场和自己面对的独特的攻击者建立自己的列表。创建这种列表的方法之一是询问你的漏洞管理团队，看看哪些攻击最常见。

当你发现列表中的某个攻击具有相关性，计算其影响力，并思考你该如何修复架构来降低风险。请注意我们这里使用的是“降低”。有时候缺陷并不需要完全解决或者完全根除，我们只需要根据特定情况将风险降低到可接受的水平即可。

如果能够找出根本性的缺陷，对于企业来说，真的很有价值。发现一个有缺陷的设计，通过正确部署安全控制，降低数十或数百个漏洞带来的风险，这难道不是好事吗?我们可以通过输出编码来实现这一过程。

2)系统特定攻击分析侧重于根据系统的运作情况来揭露无根据的假设、深挖歧义内容以及寻找新攻击。这个步骤需要最丰富的经验和天赋，因为安全本身是软件的新兴的属性。你知道，有时候软件自己运行时很正常，但当它被添加到更大的生态系统时，它就完全脱离轨道了。这就是我们的意思。预见自然发生的后果可能是非常棘手的工作。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友