應用程序安全是保護數據安全的關鍵

申請免費試用、咨詢電話：400-8352-114

如果企業(yè)希望保護他們的數據并避免令人尷尬的數據侵入，那么他們需要將關注點從網絡轉移到軟件安全性上來，特別是源代碼和基于Web的應用程序。昨天晚上用戶和安全專家們在這里的一個網絡犯罪討論會上發(fā)出這樣的警告。

"我們需要開始使用不同的工具來同敵人做斗爭"，風險投資公司Kleiner Perkins Caufield &Byers的一名合伙人Ted Schlein，在一個專題小組討論上警告說，"你的網絡管理員不一定能解決這個問題，需要讓工程師也加入--這種整體的方式能夠保護你的后端存儲"。

根據這家風險資本公司的說法，過去幾年中，大部分企業(yè)都把資源浪費在了邊界安全上，而黑客們則越來越盯住基于Web的應用程序的漏洞，黑客以此為途徑竊取數據庫和后端存儲系統(tǒng)中敏感數據。

"數據丟失每年都要花費這個國家1800億美元到2000億美元"，他表示，邊界安全，如防火墻，容易被網絡罪犯輕易繞過，"這是不對稱的規(guī)則和架構--企業(yè)IT不能趕上威脅的腳步，因為數據安全掌握在網絡運營人員手中"。

位于紐約的證券托管結算公司(DTCC)為金融部門提供清算和結算服務，這家公司也在采取措施應對這種挑戰(zhàn)。

"我們在安全方面有一個‘超級開發(fā)員'團隊"，該公司的首席信息安全員James Routh解釋道，"我們?yōu)檫@個團隊提供非常多的支持。"

黑客在軟件犯罪上使用的典型技術包括跨站腳本和SQL注入，通過軟件源碼的漏洞，這些技術讓這些罪犯可以得到其他人的登錄信息。

Gotham Digital Science公司的網絡安全專家Brian Holyfield在企業(yè)IT架構上進行漏洞測試，他也同意基于Web的應用程序確實有致命的弱點。

"這是一個主要威脅"，他說，"當我們對我們的客戶進行滲透測試時，80%的情況下我們都通過這些應用程序進去了，因此你必須想想真正的黑客也在利用這80%的概率。"

DTCC解決這個問題的方法是在其軟件源代碼上運行大約9個不同的測試產品。這些產品包括Application Security的AppDetective(用于檢查數據庫漏洞)，以及來自WhiteHat的一個工具(用于掃描Web應用程序)。

"我們在三年前就開始了這項工作，因為數據威脅的趨勢顯示應用程序比起網絡邊界更普遍地受到攻擊"，Routh解釋道，"對于打包軟件，我們要求廠商提供靜態(tài)代碼分析，動態(tài)代碼分析和人工代碼分析的資料。"

"動態(tài)代碼"是指那些已經完成并且正在運行的軟件的代碼，而"靜態(tài)代碼"是指那些仍然還處于測試階段的軟件的代碼。Routh表示，DTCC也使用該公司的一項名為Veracode的服務來掃描大量代碼和發(fā)現漏洞。

曾投資于Fortify Software公司的Kleiner Perkins公司的經理Schlein說，維護軟件安全的責任需要廠商和用戶共同承擔。"世界上大部分的軟件并不是來自軟件廠商，而是來自財富1000強的企業(yè)"。

雖然美國聯邦政府使用公共準則的安全標準，Schlein還是認為華盛頓的政府需要在源代碼上樹立一個更好的表率。他解釋道："我認為需要通過一部法案來命令聯邦政府不得購買來自第三方的軟件，或不得開發(fā)未經過安全審查的自用軟件"。（比特網）