“知物由学”是网易云易盾打造的一个品牌栏目,词语出自汉·王充《论衡·实知》。人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你。当然,如果你有不错的认知或分享,也欢迎通过邮件(zhangyong02@corp.netease.com)投稿。
本文作者:Kevin Beaver,独立信息安全顾问,Kevin Beaver是Kevin Beaver是位于亚特兰大的Principle Logic,LLC的信息安全顾问,作家和专业演讲者。Kevin拥有超过29年的IT经验和23年的安全专业知识,可执行独立的安全评估和咨询,帮助企业取消选中那些不断制造虚假安全意识的方框。他撰写/合著了12本关于信息安全的书,包括畅销的《傻瓜黑客》和《HIPAA隐私和安全合规实用指南》。
为什么这么多人在网络和应用安全上战斗?这个问题的一些答案是显而易见的,但其他的答案却不那么明显。在过去的十五年里测试了数百个应用程序的安全性之后,我得出结论,有很多网络安全故障发生的原因值得我们关注。
九种常见的网络安全挑战
以下是我所认为的最常见的安全挑战中的9个,这些挑战都是我们这个时代的重大但又不是特别重大的网络安全事件和数据泄露。
1.缺乏安全要求和标准
在许多情况下,开发人员会驱动特定的安全需求,而不是更大的业务单元。这种松散和不一致的方法常常源于缺乏组织的安全标准。某些标准可能由第三方开发人员来实现,但它们有时根本不被认为是应用程序体系结构的一部分。
2.缺乏对开发人员和质量保证(QA)专业人员正式的安全培训
正如我不能期望编写可靠的代码或发现每一个软件质量问题一样,开发人员和质量保证(QA)专业人员也不能期望知道所有与安全相关的事情。也就是说,在软件和系统开发生命周期中,开发人员和QA专业人员都有许多错失的机会去防止或发现使它们无法达到生产状态的共同的安全缺陷。简单地遵循一个框架,例如开放网页应用程式安全性专案(OWASP )里TOP10的安全隐患,可以带来巨大的好处。但是,我交流过的大多数开发人员和质量保证(QA)专业人员都没有听说过。
3.缺乏安全领导力
大多数小型初创公司和中型企业都在谈论安全问题,但它背后的实质是微不足道的。即使是在那些拥有专门的安全执行职务、官僚主义和保护主义的大型企业中,IT主管们对自己利益的保护往往也会妨碍安全。
4.不正确的安全测试
网站和应用程序安全测试通常包括在一般的漏洞和渗透测试工作中,并且没有得到正确的测试。针对网络应用程序的一般网络漏洞扫描是不够的,安全团队需要专用的漏洞扫描器。使用不同的网络漏洞扫描器、网络代理和相关工具进行身份验证测试是至关重要的,甚至在很多情况下源代码分析都是有益的。
5.安全控制不足
暂存、质量保证(QA)和开发系统经常暴露在互联网上,但是它们没有生产网络环境所拥有的相同的安全控制。它们不是在网络应用程序防火墙后面,经常是没有补丁的,而且它们很少得到主动系统监视和警报的保护。
真正的问题是,他们通常会提供未被识别、加密或其他保护的生产数据。这些数据会在互联网上或任何有内部网络访问的人面前暴露出来。当这种情况发生时,很可能没有人会知道。
6.未知的网站和应用程序
许多网站和应用程序都是未知的,因此不受保护。在许多组织中,许多网络系统没有经过安全审查。要么他们被认为不重要,要么他们完全不知道。其中一些网站和应用程序最初是由开发人员和IT以外的人建立的,这导致他们在网络安全监管的监视之外。
7.错误的人进行漏洞测试
在一些组织中,错误的人正在测试网络安全缺陷。内部安全团队经常在没有外部或独立评估情况下进行测试。这在安全方面可能是充分的,但应该至少遵从独立的第三方定期执行这项工作的规则。
我经常看到外部供应商进行他们自己的“测试”,这通常只是基本的漏洞扫描。我也看到很多人依靠审计报告来做与网络有关的安全决策。这样的审计对于发现数据中心和周围的安全漏洞非常有用,但是它们实际上对特定的网络应用程序漏洞没有任何意义。
8.过度依赖文档化的策略
一些管理人员完全依赖文档化的安全策略来保护系统。在大的计划中,安全策略几乎没有保护网络环境免受攻击。然而,除了安抚审计员,策略对网络安全程序没有什么价值。
9.不良的事件反应计划
许多安全团队没有计划的去解决他们发现的风险。当漏洞和风险被识别时,常见的网络安全漏洞就会出现,但是解决方案永远都看不到曙光。只要问问那些参与我们每天看到和听到的重大安全事件的人就知道了,计划整件事件是至关重要的,尤其是关于你最重要的系统的最紧迫的问题。及时的行动会带来丰厚的回报。
加强安全链中的薄弱环节
不管网络安全是你整个IT程序的一个非正式组成部分,还是你有专门的SecDevOps程序来监督它的部分,你会发现大多数的安全挑战都是在你的头上。换句话说,就是人们为了让安全项目为你的组织工作,而不是反对你的组织,你必须承认并克服这些挑战。
其中一个或多个挑战无疑存在于你的组织中。让正确的人参与进来,找出差距,并承诺通过教育员工、传播意识和团结不同部门在一个统一的网络安全策略下做出适当的调整。