你想让你的安全感建立在借口上吗?

安全资讯 小布 214浏览 0评论

在网络安全领域,平衡风险和安全措施是很自然的。毕竟,没有办法实现绝对安全,因此您必须说停在某个地方。然而,如果你依靠借口而低估威胁,你很可能成为严重攻击的受害者。网络犯罪分子很聪明——他们会攻击那些让他们容易犯罪的人。

我已经看到企业将 Web 应用程序安全视为不如拥有防病毒软件那么重要。如果企业在 WordPress 上只有一个简单的营销网站,我可以理解这种方法。但是,如果企业为大公司开发专业的 B2B Web 应用程序,使用这些 Web 应用程序处理大量敏感信息,我无法理解这种粗心大意!然而,是的,这发生了!

以下是我在 Web 应用程序安全方面听到的一些借口。我将它们包括在内是为了帮助您在决定如何继续您的旅程时避免类似的陷阱。

“我们的软件仅供内部使用,因此没有攻击风险”

恶意黑客仅攻击向公众公开的 Web 应用程序的假设是造成重大数据泄露的主要原因之一。不仅内部工作在网络安全领域非常普遍,而且攻击者可以找到进入内部网络的方法并从那里访问内部 Web 应用程序。

无论 Web 应用程序是公开的、仅通过内部网络和 VPN 使用,还是受 IP 过滤和身份验证保护,您都应该始终以相同的方式对待 Web 应用程序的安全性。这意味着,例如,如果您的应用程序只能从选定的 IP 范围访问并且需要身份验证,这并不意味着它在设计上是安全的。更糟糕的是,犯罪分子实际上可能会寻求进入此类应用程序,尤其是在知道它们的创建者通常将漏洞视为威胁较小的情况下,甚至不检查它们。

总之,扫描每个应用程序的安全漏洞,无论它受到网络安全措施和身份验证的保护有多好!

“我们的实施使得不可能有漏洞”

我从一家使用 Hibernate ORM 进行 Java 开发的公司那里听到了这种说法。据说 Hibernate 的构建消除了 SQL 注入漏洞,因为数据库总是返回单个结果集。不幸的是,事实并非如此。Hibernate 的这个特性只消除了一些 SQL 注入攻击,但不是全部。此功能对与 SQL 无关的漏洞也没有任何影响。

虽然现代开发和实施环境使某些攻击更加困难,但没有任何环境可以帮助您阻止所有攻击,甚至大部分攻击。如果您认为您设计开发和实现的方式不包含任何安全测试就足够了,请再想一想。

总之,无论您使用何种开发和实施环境,都要测试您所有应用程序的安全漏洞(即使它们据称可以消除安全错误)。

“我们偶尔进行一次安全扫描,但从未发现任何严重问题”

一些企业认为,每隔几个月扫描一次他们的应用程序就足够了,例如,只在主要发布之前。他们认为没有必要验证每个候选版本的安全性,甚至不太愿意将安全扫描作为其常规 DevOps 管道的一部分。争论点是,迄今为止,扫描没有产生重大问题。

这种方法好比在超市门前不锁车门(钥匙插在点火开关上)。当然,在大多数情况下,什么都不会发生,因为周围不会有汽车窃贼。但是,如果周围只有一个窃贼并注意到您的汽车没有上锁,您的车辆很快就会更换车主。在这种情况下也是如此:只有一个在主要版本之间未被发现的主要漏洞可能会导致安全漏洞暴露您的所有敏感数据并破坏您的商业声誉。

总之,比您认为不安全的应用程序更彻底地测试您认为安全的应用程序。

安全总比后悔好

“比抱歉更安全”这句话非常适用于网络安全(以及一般的安全)。在我看来,无论您为企业做出什么安全决策,都应该将这些决策与您自己的个人资产的安全性进行比较。例如,如果您的公寓位于一个前门有保安的街区,这是否意味着您可以不锁门?如果您家附近最近没有发生闯入事件,是否意味着您上班时可以敞开窗户?

如果您不找借口,而是尝试假设最坏的情况,那么您就不太可能成为下一个有关数据泄露的头条新闻的主角。将 Web 应用程序安全性包含在您的 SDLC 中的成本与您可能因数据泄露而遭受的损失相比,就像门锁的成本与您家中所有贵重物品的成本相比。

做出正确的选择,而不是找借口。

转载请注明:布尔云安的博客 » 你想让你的安全感建立在借口上吗?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址