保护应用软件的成本Vs效益

保护应用软件的成本Vs效益

沈建苗 编译　

应用软件安全策略当前面临的形势不容乐观。由于企业通过因特网逐渐与外界广泛联系，这些组织日益面临种种风险：遭遇欺诈、收入减少及声誉受损――这一切归咎于滥用内部开发的软件或商业应用软件包。

那么企业如何确定保护应用软件的成本与效益呢？如果考虑到因变幻莫测的变化因素如黑客恶意攻击而对企业的未来所构成的风险，几乎不可能回答这个曾经看似简单的问题。

如今出现了一种新兴的思想流派，可帮助企业进行这类困难的估算，这就是安全投资回报（ROSI）。ROSI的基本概念问世已有多年，但整个业界现在才终于开始注意这种新兴理论体系所蕴含的原理。

ROSI的基本理念就是：如果利用传统的成本分析模型，无法对安全投资进行评佑，这是因为安全风险引起的威胁变化不一，始终无法加以界定或量化。虽然统计人员收集数据的时间不够长，但应用研究表明，足够的信息安全保护企业避免遭到的商业风险大大高于规划及实施考虑周全的信息风险管理和安全政策方面的投资。

ROSI竭力为公司提供的就是，用数学方法解释各种数据集，以便更加明确地评价风险、帮助确定危胁。这样一来，多少有助于我们对任何特定组织面临的风险进行量化，从而对该组织因而所作的安全投资产生的回报进行量化。

之所以需要这类数据，是因为即使在强烈呼吁安全的环境下，企业预算紧张的现实，以及提高生产力的必要，这势必需要明确解释每一笔费用的合理性。

安全就其本身而言很少是最终目的。相反，安全是实现其它目的的一种手段，如确保软件质量、可靠性、灵活性及保护声誉。

市场现状

安全往往被认为就是在企业数据外面建起一座堡垒，而在如今这个高度互连的世界，这种想法非常危险。倘若专注于这种安全模式，就会导致据称关注安全的组织依赖防火墙及网络基础设施的其它基本部件作为最后一招，其实这很危险。

为了真正确保安全，公司必须检查及评估IT基础设施的每一个基本部件。奇怪的是，人们在评估安全时最常常忽略的就是应用软件。须知，应用软件对大多数企业能不能生存的根本：创造收入及提供竞争优势来说至关重要。

@stake分析了45种电子商务应用软件，并概述了如今所实施的应用软件安全的状况。应用软件本身成为研究重点有两个原因：应用层攻击轻而易举就能绕过大多数防火墙，另外，正如美国最有名的银行抢劫犯之一威利·萨顿（Willie Sutton）曾经所说的那样：“钱就放在那儿。”

所分析的应用软件负责为相关客户创造35亿美元的收入，数据收集前后耗时18个月（2000年2月到2001年7月）。所分析的应用软件包括各大软件公司提供的商业软件包、中间件平台及最终用户的电子商务应用软件。

这项研究披露了导致应用软件变得不安全的九类常见安全缺陷方面的经验细节，调查结果还表明，应用软件存在的缺陷有70%源自软件生命周期的设计阶段，而不是实施阶段（也就是说，如果设计程序更完善，这类缺陷原本是可以避免的）。此外，近一半（47%）的应用软件安全缺陷应该被认为是重大的设计缺陷，这意味着这些缺陷很容易被人利用，同时可能会使企业的声誉或收入蒙受重大损失。

总而言之，诸如此类的研究估计：IT基础设施面临的数字风险有30%－50%归咎于商业及定制软件存在的缺陷。

更好的办法

但实施安全及评估回报不一定就是冒险假设。进一步的研究清楚表明：如果安全进一步向价值链的上游移动，进入项目或应用软件的设计阶段，这具有实际的投资回报。没有比一开始设计时就考虑到安全性更为安全的网络或应用软件了。

据软件质量保证（SQA）的经验研究显示，假如应用软件的设计阶段期间解决一问题需要一美元，应用软件交付后解决同样这个问题就需要60到100美元。如果你把安全软件工程的原理运用到典型应用软件的开发上来，就会发现一些非常引人注目的ROI数字。

结果表明，如果开发周期的早期阶段就采用安全分析及安全工程策略，可以大大节省成本，还能获得其它优势。ROI从12%到21%不等，如果在应用软件的设计阶段（而不是实施或测试阶段）分析安全，回报率最高。

不妨举个例子，在测试阶段，补救典型企业级应用软件存在的四个安全缺陷总共需要24000美元。如果部署后才发现缺陷，成本就会激增到将近16万美元（还不包括间接成本，如信誉丧失或公关费用）

应用软件开发商的对策

@stake所作的这项研究显示了应用软件存在的九类常见安全缺陷，但开发出来的应用软件并不都是一模一样的。在分析的一系列应用软件当中，就安全缺陷而言，设计最佳的应用软件仅为设计最差的四分之一，因而这类应用软件具有的业务调整风险比最不安全的应用软件要低80%。

基于这种数据，出现了六种重要的模式，可以为应用软件开发商定义最佳策略：

1、早期设计专注于用户验证及授权（接受调查的应用软件62%未能做到这点）；

2、不信任用户提供的信息（抽样调查的应用软件71%存在信息核实有误的现象）；

3、端到端安全加密（31%的应用软件可能会发生会话劫持）；

4、数据的安全处理；

5、消除管理员后门、配置不当及默认设置；

6、安全质量保证。

最终用户的对策

正如前面所强调的那样，不是所有的应用软件开发时都是一样的。尽管开发人员自己肩负遵守标准的重任，但最终用户也可以采取一些措施，帮助降低所用软件的固有风险。

我们的研究已表明，最不安全的应用软件隐藏的风险大约高达最安全的六倍。公司应采取以下六项措施，有助于保护自己免受不安全产品带来的风险：

1、别再一味依赖防火墙；

2、行动起来；

3、教育应用软件开发人员；

4、及早并经常评估；

5、投入资金、实行审查；

6、向外界寻求帮助。

放眼全局

我们已经明确：探讨安全投资时，ROI很难在动态的基础上直接进行量化。但我们也提出了给安全以优先地位的充足理由，无论是在应用软件开发层面，还是在最终用户组织层面。

有效的安全不仅仅涉及预防，还涉及准备。针对事件采取及时、合理的响应措施这种能力是极为重要的一个方面，但又是公司在评估安全投资回报时往往所忽视的一个方面。一个简单的事实就是，完全保护企业免受攻击是不可能的（别听信厂商的炒作！）。实际上，实施相应的政策、程序及系统以便使你公司有一线生机从攻击事件之后迅速、有效地恢复过来，这非常重要。

但安全不是“一体适用”（one-size-fits-all），尽管许多厂商这样声称，其实是为了促进一整套解决方案的销量。处理这个问题时，采取正确的安全方案至关重要。如果合理政策和解决方案能够同商业模式和IT基础设施结合起来，不仅能够获得最可靠的安全，还能获得最具成本效益的安全，能够为企业带来良好的声誉和效益。

@stake的近期研究表明，除了提供合理安全这一明显的好处外，定制的安全方案其实还可以使网络吞吐量至少增加3%。一些软效益证实了这种可以量化的优点，譬如维护成本降低、收入增加（更不用说可以减少攻击得逞的次数）。

总之，这些宏观数据对证明安全投资回报具有一定帮助。

结论

不要把安全仅仅视为在日常经营中评估回报时拿来对照的成本中心。除了对如今几乎每家企业的业务极为重要外，合理的安全方案对整个组织而言还有一层“效益光环”（benefit halo）。衡量ROSI是否令人满意的主要标准基于提高生产力及管理风险，这风险包括企业的灾难性失败。

软件包设计当中的安全缺陷很常见，但也极其危险。有人会利用这些缺陷对原本极其安全的组织发动攻击。因而，如果对现成软件包引起的风险缺乏应有的了解，人们恐怕会声称，最终用户组织的所有其它安全投资的回报大为减小。

真正保护计算资源需要有一项全面的方案，又根本无法面面俱到――它需要不断加以关注及评估。好消息就是，除了保护组织避免受到内外的危胁外，安全往往还提供了额外好处，从而增加了投资所带来的总价值。

量化安全投资回报仍然会极其困难，但最终赞成安全的理由通常比反对安全的更令人信服（这也意味着是继续经营还是关门大吉）。

本文原载于赛迪网