沒有任何一個安全防禦是完美的，那麼如何對隱藏的資料資產進行保護呢?確保軟體安全可以說是從底層開始對網路安全進行防禦的有效手段。

早在90年代，我們都曾經在系統周圍構建大型防火牆，並尋找要修補的漏洞。從理論上講，在所擁有的軟體系統周圍築起一道堅不可摧的牆是個好主意，因為它甚至可以保護曾被忽略的問題。

然而，如果一堵牆是你唯一的防禦手段，它就需要在所有的時間裡做到100%完美。現實是，即便是用來居住的房子牆壁也會隨著時間的推移而形成裂縫，更不用說如今的企業邊界還涉及雲、移動和遠端資產，而且還可能存在自己都不清楚的隱藏資產。

完美絕不是良好網路安全的先決條件。我們有各種各樣的防禦措施，即使在存在未知或錯誤的情況下也能發揮作用。比如，提高網路系統中最基礎部分的安全性——軟體安全，來從底部構建網路安全體系。

軟體系統非常複雜。因此，如果我像攻擊者一樣思考，那麼不可能嘗試瞭解所有攻擊面。我不需要知道所有資料或有關的安全策略的所有資訊。我們只需要考慮哪些途徑有利於快速入侵併成功，這可以作為破解攻擊面的切入點。

這就是應該考慮的保護系統的方式，找到軟體系統中的攻擊面和敏感資產之間存在的路徑，並將其扼殺，如果必須要用到這些路徑，並且十分關鍵，那麼就設定故障保護和警報，這樣，當攻擊者利用這條路徑時，就可以在他們竊取資料之前就知道了。

或者可以理解為，企業可以提前發現軟體系統中的安全漏洞並進行修復，在黑客利用漏洞之前將網路入侵“扼殺在搖籃”之中。

一種方法是根據哪些資產需要與網際網路交流，哪些不需要，對資產進行分類。可能的情況是，絕大多數面向網際網路的資產是軟體即服務(SaaS)應用程式或裝置的元件，這些應用程式或裝置您不使用或不需要使用。如果您有一個提供檔案傳輸和VPN的裝置，並且您只使用VPN，那麼請關閉檔案傳輸特性。

下一個類別是：從外部可見的、對公司運營必不可少的東西，比如公司網站或遠端訪問協議。這些毫無疑問是攻擊面和敏感資料之間的一些突出的路徑。儲存這些資料軟體安全性至關重要，確保這些軟體安全對保護資料有很大意義。

有些企業應該已經建立了完善的資料資產保護機制，並將需要訪問和密切監控的資產放置其中。但更重要的是，安全問題不應該僅靠外部防禦，從軟體開發初期利用 靜態程式碼檢測工具發現並修復安全漏洞，減少安全漏洞的產生，比後期的彌補更重要。

當開發人員在編寫程式碼時，儘量“安全地編碼”可以有效建立軟體安全防禦屏障，在完成軟體原型要求的同時，構建更加安全的應用軟體。

當企業通過Qualys掃描並發現有300萬個安全漏洞時，該如何通過釋出300萬個補丁來修補?想必對任何人來說都是無能為力的。但是在構建軟體系統時，對其細分市場中所包含的軟體進行安全檢測，不但可以高效瞭解系統安全狀況，更有利於在出現問題之前解決。

底線：企業應該在設計安全防禦系統時假設攻擊者可以破壞任何資產並擁有其控制權、特權和功能。您可以通過實施縱深防禦來保護資產，即使並不知道這些資產是否重要，嚴謹的安全防禦仍然是必不可少的。

參讀連結：

如何保護您不瞭解的資料資產免受網路攻擊?

相關文章