本文作者为James Rogers,他是一名专业从事数据安全与数据保护方面资深编辑,常常向用户提供相关方面的策略建议。
如果企业希望保护他们的数据并避免令人尴尬的数据侵入,那么他们需要将关注点从网络转移到软件安全性上来,特别是源代码和基于Web的应用程序。昨天晚上用户和安全专家们在这里的一个网络犯罪讨论会上发出这样的警告。
"我们需要开始使用不同的工具来同敌人做斗争",风险投资公司Kleiner Perkins Caufield & Byers的一名合伙人Ted Schlein,在一个专题小组讨论上警告说,"你的网络管理员不一定能解决这个问题,需要让工程师也加入–这种整体的方式能够保护你的后端存储"。
根据这家风险资本公司的说法,过去几年中,大部分企业都把资源浪费在了边界安全上,而黑客们则越来越盯住基于Web的应用程序的漏洞,黑客以此为途径窃取数据库和后端存储系统中敏感数据。
"数据丢失每年都要花费这个国家1800亿美元到2000亿美元",他表示,边界安全,如防火墙,容易被网络罪犯轻易绕过,"这是不对称的规则和架构–企业IT不能赶上威胁的脚步,因为数据安全掌握在网络运营人员手中"。
位于纽约的证券托管结算公司(DTCC)为金融部门提供清算和结算服务,这家公司也在采取措施应对这种挑战。
"我们在安全方面有一个‘超级开发员’团队",该公司的首席信息安全员James Routh解释道,"我们为这个团队提供非常多的支持。"
黑客在软件犯罪上使用的典型技术包括跨站脚本和SQL注入,通过软件源码的漏洞,这些技术让这些罪犯可以得到其他人的登录信息。
Gotham Digital Science公司的网络安全专家Brian Holyfield在企业IT架构上进行漏洞测试,他也同意基于Web的应用程序确实有致命的弱点。
"这是一个主要威胁",他说,"当我们对我们的客户进行渗透测试时,80%的情况下我们都通过这些应用程序进去了,因此你必须想想真正的黑客也在利用这80%的概率。"
DTCC解决这个问题的方法是在其软件源代码上运行大约9个不同的测试产品。这些产品包括Application Security的AppDetective(用于检查数据库漏洞),以及来自WhiteHat的一个工具(用于扫描Web应用程序)。
"我们在三年前就开始了这项工作,因为数据威胁的趋势显示应用程序比起网络边界更普遍地受到攻击",Routh解释道,"对于打包软件,我们要求厂商提供静态代码分析,动态代码分析和人工代码分析的资料。"
"动态代码"是指那些已经完成并且正在运行的软件的代码,而"静态代码"是指那些仍然还处于测试阶段的软件的代码。Routh表示,DTCC也使用该公司的一项名为Veracode的服务来扫描大量代码和发现漏洞。
曾投资于Fortify Software公司的Kleiner Perkins公司的经理Schlein说,维护软件安全的责任需要厂商和用户共同承担。"世界上大部分的软件并不是来自软件厂商,而是来自财富1000强的企业"。
虽然美国联邦政府使用公共准则的安全标准,Schlein还是认为华盛顿的政府需要在源代码上树立一个更好的表率。他解释道:"我认为需要通过一部法案来命令联邦政府不得购买来自第三方的软件,或不得开发未经过安全审查的自用软件"。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
Pure Storage推出ObjectEngine备份设备
闪存存储先驱Pure Storage公司开始进入云备份领域,让客户可对亚马逊云计算服务(AWS)上的数据进行重 […]
-
对象存储备份最大的好处是什么?
对象存储使得云备份更加实用,并且支持大规模的可扩展,因为对象存储主要是为了扩展而设计的,所以在低成本的商品硬件上存储对象存储通常是可以接受的。
-
揭开灾备真相——那些年我们见过的灾备术语
作为数据保护的最后一道屏障,灾备系统的重要性不言而喻。IT圈好像一夜之间都在说灾备,那么到底什么是灾备?为什么灾备如此重要?未来发展趋势如何?本系列文章带你认清灾备真相。
-
存储经理人2017年11月刊:如何选择正确的DRaaS供应商
《存储经理人》2017年11月刊重点介绍如何选择正确的DRaaS提供商:DRaaS供应商应当具备四项关键技能,以能够全方位应对所有潜在灾害。本期杂志还介绍了下一代线性磁带开放标准LTO-8,云中数据存储的注意事项以及驱动企业采用云存储的主要因素,同时阐述了冷存储需求不断高涨以及二级存储的现代化转型等现状,提醒大家在文件同步和共享时应确保数据安全,以及如何为未来的闪存做好准备。