反黑客任务

来源 :创业邦 | 被引量 : 0次 | 上传用户:dingzanzan
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  Sohaib Athar是巴基斯坦一名普通的IT人士,因为无意中对美国反击本.拉登进行了微博直播,一夜之间成为了网络名人。他没想到出名带来的后果:一个黑客在Athar的博客上安装了恶意软件,他上百万的新访客和潜在访客都可能成为恶意软件的受害者。
  商业网站——从小企业到商业巨头的网站——正遭受到越来越多的网络安全攻击。对商业网站来说,他们必须学习在一个新的、日益丑恶的世界里做生意。
  即使是掌握丰富资源和强大团队的企业也可能被攻击。今年早些时候,黑客盗取了至少70万索尼PlayStation网络用户的信用卡信息和个人资料。RSA——马萨诸塞州一家网络安全公司,为超过90%的世界500强企业提供网络安全服务,它也由于公司安装的某些软件中的隐藏缺陷,而被黑客攻击。
  索尼预计在2010-2011财年净亏损达到32亿美元,其中一个原因就是受黑客袭击。RSA也遭受了信任危机,它曾经被看做无懈可击的安全产品正不断被质疑。
  这些攻击的核心是一种新的商业安全风险。网络罪犯不仅利用市场上商业电脑硬件和软件的弱点,现在,他们也越来越多地利用公司网站上定制的商业应用程序里隐藏的缺陷。这些应用程序的漏洞有着怪异但是听起来无害的名字,如SQL注解和脚本错误等。但他们不是无害的,他们对公司以及公司客户都有着极大的潜在破坏性。
  Jeff Williams,安全顾问和开放式Web应用程序安全项目(美国马里兰州哥伦比亚地区一个非营利的应用程序安全协会项目)的主席说:“不仅是商用硬件和软件受到攻击,越来越多的,由某个公司编写的自定义应用程序也受到攻击。”
  对企业来说,这意味着下载并安装最新版本的操作系统、软件和安全工具不再足够。现在企业面临着艰巨的任务:测试、人工分析代码和估计网站整体风险水平——公司的网站上定制的应用程序几乎总有漏洞。这些自定义应用程序包括任何自定义编码的、开放源代码的程序,比如公司网页、博客订阅、商家账户、购物工具、内容管理系统和营销应用程序等。
  对于很多企业,最少要对几万行代码进行检查和风险分析。如果发现关键信息有泄漏风险,必须立即修复漏洞,不然就必须把应用程序从网站上拿下。
  “我们应当意识到,保证应用程序的安全性相当困难,”Justin Clarke——纽约一家网络安全公司Gotham数码科技的主管说:“但我们不能什么也不做,网络罪犯不关心你的企业,他们的攻击是为了得到客户的信息。”
  保证应用程序的安全性也不便宜。提供应用程序安全服务的专业人士都是软件界的高薪精英。网络安全服务外包起价高达每小时几百美元,应用程序安全维护软件的价格可达到七位数,另外,每年的维护费也达到买价的10%~15%。也难怪大公司每年在应用程序安全服务上的预算高达数百万美元。
  对于较小的企业来说,也有希望改善自定义应用程序的安全性。一种新的基于Web的应用程序安全性服务已经向规模较小的企业开放,但这些工具不是像诺顿杀毒那样便宜。公司预计花费至少要达到每年15000美元,或者更多——如果他们至少有一个网站,这样才能保证更高的安全性。这个价格意味着有些企业只能任风险存在。但对于法律、医疗或政府网站,数据丢失可能导致民事和刑事处罚,他们没有选择余地,只能支付巨额保证应用程序的安全性。
  如何提高应用程序的安全性呢?花钱让别人解决该问题,这样,除了知道您正采取步骤来保护您的业务和客户,在出现问题时,也有了第三方共同承担责任。万一出现安全漏洞,您雇佣的公司也需要承担相应责任。
  采用第三方服务并不简单,最好在您能力范围内聘请资金充足、有优秀人才储备的组织机构。亚马逊的灵活支付服务和PayPal是网上结账合作伙伴不错的选择。他们都资金雄厚,有几十年提供安全更新服务的经验。谷歌和微软提供优良的托管式网络服务,并为小企业提供多种类型的安全产品。ADP、Intuit和Paychex公司提供安全的薪酬支付和商业系统,有为大公司提供应用程序安全服务的良好记录。
  另外不要忘了您的博客和社交媒体——您与客户互动的地方通常安全隐患很高。许多专家认为,谷歌Blogger和WordPress的托管网络应用程序为小企业提供了良好、安全的服务资源。
  “我坚决支持尽可能多的外包,”Bill Pennington(加州圣克拉拉一家为大中型企业提供安全风险分析的公司WhiteHat Security的首席战略官)说:“大型网络服务公司投资数十亿美元保证网络安全,这对小公司来说是不可能的。”无论您采用何种外包解决方案,您必须确保在您可控的地方存储公司备份数据。如果有任何问题,您至少不会损失公司数据。
  Philippe Courtot,公司董事长兼首席执行官说:“我们希望为所有企业提供最优质的应用程序安全服务,只需要稍微培训,即使是最小的企业也能运行。”但是如果它提供了你根本看不懂、或者看懂了还是不知道如何采取行动的结果,不要太惊讶。
  扫描工具只是安全难题中的一环,您将需要抽出时间专门研究如何运行。当然,这可能使小公司陷入困境——你是否应当对安全问题投入资源?最好是采访一些应用程序安全顾问,以评估应用程序安全是否对公司的安全构成威胁,然后决定您是否可以承受不处理风险的后果。
  现在来讲最困难的部分是——如何选择一个应用程序安全顾问。聘请一个应用程序安全的专业人士是复杂、昂贵、坦白来说有些烦人的问题。很多时候,安全专家有良好的意图,也努力工作。但是,像许多高薪顾问一样,他们往往难以管理,并认为他们在公司系统之外或系统之上工作。您的应用程序安全性专家顾问很可能与软件开发人员发生冲突,因为他很可能会对您的软件开发人员指手划脚。
  寻找合适的顾问很棘手。一个明智的方式是从一个非营利性安全组织的地方分会入手,比如开放式Web应用程序安全项目。选择一个在您的软件类型内有良好记录的安全专家。如果您能找到一个特定领域的研究专家就更好了。此外,像雇用他人一样,您也可以向自动化工具的专家要求推荐信,他们中很多人与当地经销商有主动转介服务等关系。
  因此,你需要研究相应的方案和预算。但是,正如选择医生一样,你也需要应用程序的安全专家第二甚至第三个备用。随着网络迅速成为一个虚拟的狂野大西部,你需要集合所有的应用程序安全部队。
  _译/万婧
其他文献
2005年首次发现不同于Th1和Th2的CD4~+T细胞亚群,人们将这种主要分泌IL-17的Th细胞命名为Th17。Th17细胞具有独立的分化和发育过程,而IL-17是T细胞诱导炎性反应的早期启动因
近日,西林钢铁集团有限公司将一封感谢信送交到伊春市委书记许兆君的手中,对伊春市国土资源局真心实意为企业排忧解难表示诚挚的感谢。许书记在仔细阅读后,欣然批示:“省直部门真
急性肾盂肾炎是常见的一种疾病,由细菌感染引起,多见于大肠埃希菌。采用中西医结合的方法治疗此病,用西医的抗菌治疗联合中医的"利湿通淋"治疗,结果表明中西医结合的治疗方式
一、勘查区概况工作区主要位于黑龙江省汤原县境内,地处小兴安岭南端余脉与三江平原接壤地带,地势西高东低,东部为广阔的冲积平原,属三江平原过渡带,大致可分为山丘、丘陵漫岗、平
星移斗转,阅尽沧桑。昔日“鹤立山岗”,飞鹿迎宾;今朝“三金之城”,情存北疆。这里蕴含着天地的造化,这里铭记着岁月的徜徉,这里流传着动人的故事,这里展现着灿烂的诗章。
目的对比分析慢性乙型肝炎与肝硬化患者胆囊病变的B超检测结果,以期对肝脏病变的程度判断做出指导,为临床治疗提供借鉴。方法选取2014年5月至2016年5月收治的56例慢性乙型肝
国内上市的很多企业都是“夫妻档”。亲兄弟需要明算账,同床共枕的夫妻呢?郑培敏首先我觉得,股权设置,绝对没有一个固定的模式可以简单地描述出来。所以同样的道理,夫妻创业,
目的了解帕金森病(PD)患者的血清β-淀粉样蛋白1-42(Aβ1-42)水平,并探讨其与病情的关系。方法选取2014年5月—2015年5月到新疆医科大学第一附属医院神经内科就诊的PD患者108
提出以植株体电阻作为农作物需水信息的新方法,设计一种测定体电阻的专用传感器,研制对农作物植株体电阻进行实时、快速的微机检测系统。实验结果表明,本系统亏水诊断结果与其他
目的探讨血尿酸和25-羟维生素D3与帕金森病的关系。方法选取2014年8月~2016年8月在南京医科大学附属淮安第一医院神经内科住院的帕金森病患者106例(帕金森病组),并选择同期体