网络犯罪的日益扩大,目标指向公司网站上定制的商业应用程序里隐藏的缺陷。本文将告诉你如何保护你的客户和公司。
随着各种应用越来越多,软件的漏洞又成为黑客们的新猎物。
_文∕Jonathan Blum
Sohaib Athar是巴基斯坦一名普通的IT人士,因为无意中对美国反击本.拉登进行了微博直播,一夜之间成为了网络名人。他没想到出名带来的后果:一个黑客在Athar的博客上安装了恶意软件,他上百万的新访客和潜在访客都可能成为恶意软件的受害者。
商业网站——从小企业到商业巨头的网站——正遭受到越来越多的网络安全攻击。对商业网站来说,他们必须学习在一个新的、日益丑恶的世界里做生意。
即使是掌握丰富资源和强大团队的企业也可能被攻击。今年早些时候,黑客盗取了至少70万索尼PlayStation网络用户的信用卡信息和个人资料。RSA——马萨诸塞州一家网络安全公司,为超过90%的世界500强企业提供网络安全服务,它也由于公司安装的某些软件中的隐藏缺陷,而被黑客攻击。
索尼预计在2010-2011财年净亏损达到32亿美元,其中一个原因就是受黑客袭击。RSA也遭受了信任危机,它曾经被看做无懈可击的安全产品正不断被质疑。
这些攻击的核心是一种新的商业安全风险。网络罪犯不仅利用市场上商业电脑硬件和软件的弱点,现在,他们也越来越多地利用公司网站上定制的商业应用程序里隐藏的缺陷。这些应用程序的漏洞有着怪异但是听起来无害的名字,如SQL注解和脚本错误等。但他们不是无害的,他们对公司以及公司客户都有着极大的潜在破坏性。
Jeff Williams,安全顾问和开放式Web应用程序安全项目(美国马里兰州哥伦比亚地区一个非营利的应用程序安全协会项目)的主席说:“不仅是商用硬件和软件受到攻击,越来越多的,由某个公司编写的自定义应用程序也受到攻击。”
对企业来说,这意味着下载并安装最新版本的操作系统、软件和安全工具不再足够。现在企业面临着艰巨的任务:测试、人工分析代码和估计网站整体风险水平——公司的网站上定制的应用程序几乎总有漏洞。这些自定义应用程序包括任何自定义编码的、开放源代码的程序,比如公司网页、博客订阅、商家账户、购物工具、内容管理系统和营销应用程序等。
对于很多企业,最少要对几万行代码进行检查和风险分析。如果发现关键信息有泄漏风险,必须立即修复漏洞,不然就必须把应用程序从网站上拿下。
“我们应当意识到,保证应用程序的安全性相当困难,”Justin Clarke——纽约一家网络安全公司Gotham数码科技的主管说:“但我们不能什么也不做,网络罪犯不关心你的企业,他们的攻击是为了得到客户的信息。”[page]
保证应用程序的安全性也不便宜。提供应用程序安全服务的专业人士都是软件界的高薪精英。网络安全服务外包起价高达每小时几百美元,应用程序安全维护软件的价格可达到七位数,另外,每年的维护费也达到买价的10%~15%。也难怪大公司每年在应用程序安全服务上的预算高达数百万美元。
对于较小的企业来说,也有希望改善自定义应用程序的安全性。一种新的基于Web的应用程序安全性服务已经向规模较小的企业开放,但这些工具不是像诺顿杀毒那样便宜。公司预计花费至少要达到每年15000美元,或者更多——如果他们至少有一个网站,这样才能保证更高的安全性。这个价格意味着有些企业只能任风险存在。但对于法律、医疗或政府网站,数据丢失可能导致民事和刑事处罚,他们没有选择余地,只能支付巨额保证应用程序的安全性。
如何提高应用程序的安全性呢?花钱让别人解决该问题,这样,除了知道您正采取步骤来保护您的业务和客户,在出现问题时,也有了第三方共同承担责任。万一出现安全漏洞,您雇佣的公司也需要承担相应责任。
采用第三方服务并不简单,最好在您能力范围内聘请资金充足、有优秀人才储备的组织机构。亚马逊的灵活支付服务和PayPal是网上结账合作伙伴不错的选择。他们都资金雄厚,有几十年提供安全更新服务的经验。谷歌和微软提供优良的托管式网络服务,并为小企业提供多种类型的安全产品。ADP、Intuit和Paychex公司提供安全的薪酬支付和商业系统,有为大公司提供应用程序安全服务的良好记录。
另外不要忘了您的博客和社交媒体——您与客户互动的地方通常安全隐患很高。许多专家认为,谷歌Blogger和WordPress的托管网络应用程序为小企业提供了良好、安全的服务资源。
“我坚决支持尽可能多的外包,”Bill Pennington(加州圣克拉拉一家为大中型企业提供安全风险分析的公司WhiteHat Security的首席战略官)说:“大型网络服务公司投资数十亿美元保证网络安全,这对小公司来说是不可能的。”无论您采用何种外包解决方案,您必须确保在您可控的地方存储公司备份数据。如果有任何问题,您至少不会损失公司数据。
Philippe Courtot,公司董事长兼首席执行官说:“我们希望为所有企业提供最优质的应用程序安全服务,只需要稍微培训,即使是最小的企业也能运行。”但是如果它提供了你根本看不懂、或者看懂了还是不知道如何采取行动的结果,不要太惊讶。
扫描工具只是安全难题中的一环,您将需要抽出时间专门研究如何运行。当然,这可能使小公司陷入困境——你是否应当对安全问题投入资源?最好是采访一些应用程序安全顾问,以评估应用程序安全是否对公司的安全构成威胁,然后决定您是否可以承受不处理风险的后果。
现在来讲最困难的部分是——如何选择一个应用程序安全顾问。聘请一个应用程序安全的专业人士是复杂、昂贵、坦白来说有些烦人的问题。很多时候,安全专家有良好的意图,也努力工作。但是,像许多高薪顾问一样,他们往往难以管理,并认为他们在公司系统之外或系统之上工作。您的应用程序安全性专家顾问很可能与软件开发人员发生冲突,因为他很可能会对您的软件开发人员指手划脚。
寻找合适的顾问很棘手。一个明智的方式是从一个非营利性安全组织的地方分会入手,比如开放式Web应用程序安全项目。选择一个在您的软件类型内有良好记录的安全专家。如果您能找到一个特定领域的研究专家就更好了。此外,像雇用他人一样,您也可以向自动化工具的专家要求推荐信,他们中很多人与当地经销商有主动转介服务等关系。
因此,你需要研究相应的方案和预算。但是,正如选择医生一样,你也需要应用程序的安全专家第二甚至第三个备用。随着网络迅速成为一个虚拟的狂野大西部,你需要集合所有的应用程序安全部队。_译/万婧
