知物由學 | 你的網路安全問題背後的真正原因

網易易盾發表於2018-04-08

“知物由學”是網易雲易盾打造的一個品牌欄目,詞語出自漢·王充《論衡·實知》。人,能力有高下之分,學習才知道事物的道理,而後才有智慧,不去求問就不會知道。“知物由學”希望透過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時,也希望開啟你的眼界,成就不一樣的你。當然,如果你有不錯的認知或分享,也歡迎透過郵件(zhangyong02@corp.netease.com)投稿。

知物由學 | 你的網路安全問題背後的真正原因

本文作者:Kevin Beaver,獨立資訊保安顧問,Kevin Beaver是Kevin Beaver是位於亞特蘭大的Principle Logic,LLC的資訊保安顧問,作家和專業演講者。Kevin擁有超過29年的IT經驗和23年的安全專業知識,可執行獨立的安全評估和諮詢,幫助企業取消選中那些不斷製造虛假安全意識的方框。他撰寫/合著了12本關於資訊保安的書,包括暢銷的《傻瓜駭客》和《HIPAA隱私和安全合規實用指南》。

為什麼這麼多人在網路和應用安全上戰鬥?這個問題的一些答案是顯而易見的,但其他的答案卻不那麼明顯。在過去的十五年裡測試了數百個應用程式的安全性之後,我得出結論,有很多網路安全故障發生的原因值得我們關注。

九種常見的網路安全挑戰

以下是我所認為的最常見的安全挑戰中的9個,這些挑戰都是我們這個時代的重大但又不是特別重大的網路安全事件和資料洩露。

1.缺乏安全要求和標準

在許多情況下,開發人員會驅動特定的安全需求,而不是更大的業務單元。這種鬆散和不一致的方法常常源於缺乏組織的安全標準。某些標準可能由第三方開發人員來實現,但它們有時根本不被認為是應用程式體系結構的一部分。

2.缺乏對開發人員和質量保證(QA)專業人員正式的安全培訓

正如我不能期望編寫可靠的程式碼或發現每一個軟體質量問題一樣,開發人員和質量保證(QA)專業人員也不能期望知道所有與安全相關的事情。也就是說,在軟體和系統開發生命週期中,開發人員和QA專業人員都有許多錯失的機會去防止或發現使它們無法達到生產狀態的共同的安全缺陷。簡單地遵循一個框架,例如開放網頁應用程式安全性專案(OWASP )裡TOP10的安全隱患,可以帶來巨大的好處。但是,我交流過的大多數開發人員和質量保證(QA)專業人員都沒有聽說過。

3.缺乏安全領導力

大多數小型初創公司和中型企業都在談論安全問題,但它背後的實質是微不足道的。即使是在那些擁有專門的安全執行職務、官僚主義和保護主義的大型企業中,IT主管們對自己利益的保護往往也會妨礙安全。

4.不正確的安全測試

網站和應用程式安全測試通常包括在一般的漏洞和滲透測試工作中,並且沒有得到正確的測試。針對網路應用程式的一般網路漏洞掃描是不夠的,安全團隊需要專用的漏洞掃描器。使用不同的網路漏洞掃描器、網路代理和相關工具進行身份驗證測試是至關重要的,甚至在很多情況下原始碼分析都是有益的。

5.安全控制不足

暫存、質量保證(QA)和開發系統經常暴露在網際網路上,但是它們沒有生產網路環境所擁有的相同的安全控制。它們不是在網路應用程式防火牆後面,經常是沒有補丁的,而且它們很少得到主動系統監視和警報的保護。

真正的問題是,他們通常會提供未被識別、加密或其他保護的生產資料。這些資料會在網際網路上或任何有內部網路訪問的人面前暴露出來。當這種情況發生時,很可能沒有人會知道。

6.未知的網站和應用程式

許多網站和應用程式都是未知的,因此不受保護。在許多組織中,許多網路系統沒有經過安全審查。要麼他們被認為不重要,要麼他們完全不知道。其中一些網站和應用程式最初是由開發人員和IT以外的人建立的,這導致他們在網路安全監管的監視之外。

7.錯誤的人進行漏洞測試

在一些組織中,錯誤的人正在測試網路安全缺陷。內部安全團隊經常在沒有外部或獨立評估情況下進行測試。這在安全方面可能是充分的,但應該至少遵從獨立的第三方定期執行這項工作的規則。

我經常看到外部供應商進行他們自己的“測試”,這通常只是基本的漏洞掃描。我也看到很多人依靠審計報告來做與網路有關的安全決策。這樣的審計對於發現資料中心和周圍的安全漏洞非常有用,但是它們實際上對特定的網路應用程式漏洞沒有任何意義。

8.過度依賴文件化的策略

一些管理人員完全依賴文件化的安全策略來保護系統。在大的計劃中,安全策略幾乎沒有保護網路環境免受攻擊。然而,除了安撫審計員,策略對網路安全程式沒有什麼價值。

9.不良的事件反應計劃

許多安全團隊沒有計劃的去解決他們發現的風險。當漏洞和風險被識別時,常見的網路安全漏洞就會出現,但是解決方案永遠都看不到曙光。只要問問那些參與我們每天看到和聽到的重大安全事件的人就知道了,計劃整件事件是至關重要的,尤其是關於你最重要的系統的最緊迫的問題。及時的行動會帶來豐厚的回報。

加強安全鏈中的薄弱環節

不管網路安全是你整個IT程式的一個非正式組成部分,還是你有專門的SecDevOps程式來監督它的部分,你會發現大多數的安全挑戰都是在你的頭上。換句話說,就是人們為了讓安全專案為你的組織工作,而不是反對你的組織,你必須承認並克服這些挑戰。

其中一個或多個挑戰無疑存在於你的組織中。讓正確的人參與進來,找出差距,並承諾透過教育員工、傳播意識和團結不同部門在一個統一的網路安全策略下做出適當的調整。

相關閱讀:

知物由學第五期 | 這些企業大佬如何看待2018年的安全形勢?

知物由學第六期 | 知物由學|遊戲開發者如何從容應對Unity手遊風險?

知物由學第七期 | 未來安全隱患:AI的軟肋——故意欺騙神經網路

相關文章