應用程序安全是保護數(shù)據(jù)安全的關鍵

申請免費試用、咨詢電話：400-8352-114

如果企業(yè)希望保護他們的數(shù)據(jù)并避免令人尷尬的數(shù)據(jù)侵入，那么他們需要將關注點從網(wǎng)絡轉移到軟件安全性上來，特別是源代碼和基于Web的應用程序。昨天晚上用戶和安全專家們在這里的一個網(wǎng)絡犯罪討論會上發(fā)出這樣的警告。

"我們需要開始使用不同的工具來同敵人做斗爭"，風險投資公司Kleiner Perkins Caufield &Byers的一名合伙人Ted Schlein，在一個專題小組討論上警告說，"你的網(wǎng)絡管理員不一定能解決這個問題，需要讓工程師也加入--這種整體的方式能夠保護你的后端存儲"。

根據(jù)這家風險資本公司的說法，過去幾年中，大部分企業(yè)都把資源浪費在了邊界安全上，而黑客們則越來越盯住基于Web的應用程序的漏洞，黑客以此為途徑竊取數(shù)據(jù)庫和后端存儲系統(tǒng)中敏感數(shù)據(jù)。

"數(shù)據(jù)丟失每年都要花費這個國家1800億美元到2000億美元"，他表示，邊界安全，如防火墻，容易被網(wǎng)絡罪犯輕易繞過，"這是不對稱的規(guī)則和架構--企業(yè)IT不能趕上威脅的腳步，因為數(shù)據(jù)安全掌握在網(wǎng)絡運營人員手中"。

位于紐約的證券托管結算公司(DTCC)為金融部門提供清算和結算服務，這家公司也在采取措施應對這種挑戰(zhàn)。

"我們在安全方面有一個‘超級開發(fā)員'團隊"，該公司的首席信息安全員James Routh解釋道，"我們?yōu)檫@個團隊提供非常多的支持。"

黑客在軟件犯罪上使用的典型技術包括跨站腳本和SQL注入，通過軟件源碼的漏洞，這些技術讓這些罪犯可以得到其他人的登錄信息。

Gotham Digital Science公司的網(wǎng)絡安全專家Brian Holyfield在企業(yè)IT架構上進行漏洞測試，他也同意基于Web的應用程序確實有致命的弱點。

"這是一個主要威脅"，他說，"當我們對我們的客戶進行滲透測試時，80%的情況下我們都通過這些應用程序進去了，因此你必須想想真正的黑客也在利用這80%的概率。"

DTCC解決這個問題的方法是在其軟件源代碼上運行大約9個不同的測試產(chǎn)品。這些產(chǎn)品包括Application Security的AppDetective(用于檢查數(shù)據(jù)庫漏洞)，以及來自WhiteHat的一個工具(用于掃描Web應用程序)。

"我們在三年前就開始了這項工作，因為數(shù)據(jù)威脅的趨勢顯示應用程序比起網(wǎng)絡邊界更普遍地受到攻擊"，Routh解釋道，"對于打包軟件，我們要求廠商提供靜態(tài)代碼分析，動態(tài)代碼分析和人工代碼分析的資料。"

"動態(tài)代碼"是指那些已經(jīng)完成并且正在運行的軟件的代碼，而"靜態(tài)代碼"是指那些仍然還處于測試階段的軟件的代碼。Routh表示，DTCC也使用該公司的一項名為Veracode的服務來掃描大量代碼和發(fā)現(xiàn)漏洞。

曾投資于Fortify Software公司的Kleiner Perkins公司的經(jīng)理Schlein說，維護軟件安全的責任需要廠商和用戶共同承擔。"世界上大部分的軟件并不是來自軟件廠商，而是來自財富1000強的企業(yè)"。

雖然美國聯(lián)邦政府使用公共準則的安全標準，Schlein還是認為華盛頓的政府需要在源代碼上樹立一個更好的表率。他解釋道："我認為需要通過一部法案來命令聯(lián)邦政府不得購買來自第三方的軟件，或不得開發(fā)未經(jīng)過安全審查的自用軟件"。（比特網(wǎng)）