dcsimg

Web应用程序安全性:您做得足够吗?

尽管您的网络安全团队花时间在担心基于网络的攻击,但归因于Web应用程序的数据泄露数量仍在不断增长。您也在打昨天的战斗吗?

 By 保罗·鲁本斯
第页  |  返回第1页

许多组织将其数据容易遭受盗窃,因为他们将太多的安全预算用于网络安全,而将很少的预算用于Web应用程序安全。

这是Ponemon Institute进行的“应用程序安全状态”调查的结论,该调查于上个月发布。这项调查是由Imperva和WhiteHat 安全赞助的,这两家公司是位于加利福尼亚的销售Web应用程序安全解决方案的公司。

调查显示,在2009年的十大数据泄露事件中,有93%的记录是由于对Web应用程序及其数据库的攻击而被盗的,而只有7%的数据泄露事件与网络有关。 隐私权信息交换所 数据。但是该报告发现,企业安全预算的43%分配给了网络和主机安全措施,例如防火墙,VPN和IPS设备,而只有18%的分配用于应对不安全的Web应用程序所构成的威胁。 Imperva首席安全策略师Brian Contos在对调查发表评论时说:“我想这类似于说您遇到了人们通过窗户闯入建筑物的问题,因此您要继续购买更坚固的门。”

暗示是,尽管Web应用程序极易受到攻击,但许多企业尚未更改其安全优先级以考虑到它们,Imperva首席执行官Shlomo Kramer说。当调查结果公布时,他说:“网络威胁态势已从关闭网络转变为窃取数据,现在是时候停止对抗昨天的战争了。”

从数据库中窃取大多数数据,这似乎不足为奇,这比银行抢劫犯往往抢劫银行-也就是说,毕竟数据在哪里。但是正如银行倾向于因为现金大量而采取良好的安全措施一样,Kramer的观点是Web应用程序(及其数据库)需要花费更多的资源来增强其安全性,因为当今的黑客希望Web应用程序中的数据和漏洞能够提供他们获得它的方法。

Imperva和WhiteHat 安全可能有兴趣谈论Web应用程序的威胁并谈论网络入侵的威胁,但是Kramer的论点是,黑帽黑客对进入企业网络的兴趣远不如过去吗?

这是一个棘手的问题,但是如果是这样的话,那可能仅仅是因为闯入网络变得相对困难-正是由于为保护网络所做的努力(以及花费的金钱)。

Web应用程序受到很大的攻击

无论该问题的答案是什么,Web应用程序仍然会对企业安全构成威胁-SANS Institute 费率 面向互联网的网站容易受到攻击,成为企业的第二大网络安全风险。指出“对Web应用程序的攻击构成了Internet上所有尝试的攻击的60%以上”。但是研究所强调,大多数攻击的目的不是窃取位于这些Web应用程序后面的数据。这些漏洞被广泛利用,以将受信任的网站转换为提供包含客户端漏洞的内容的恶意网站。”

根据SANS的调查,对企业而言,最大的网络安全威胁是客户端软件,例如Adobe Flash和Reader,该软件尚未修补。可以利用这种软件“传播感染,并破坏其他内部计算机和敏感服务器,这些计算机和敏感服务器被错误地认为不受外部实体的未经授权的访问。在许多情况下,攻击者的最终目的是从目标组织中窃取数据,并且安装后门,攻击者可以通过后门返回以进行进一步的利用。”

那么,显然,保护网络和Web应用程序都应该是关键优先事项。这归结为资源分配问题:如果您在网络上花费过多的安全预算,黑客将通过Web应用程序窃取数据,但是如果您在Web应用程序上花费过多,则不会您剩余的预算中有足够的钱来防止他们通过侵入您的网络来窃取数据。就这么简单。

如果您决定将更多的安全预算分配给Web应用程序安全,则要采取的重要步骤(如果尚未这样做)包括使用专门的Web漏洞扫描程序定期扫描已知漏洞和编码错误,甚至进行全面渗透测试。

这些步骤仅在有效时加以注意,如果它们附带有确保开发人员及时修复所发现漏洞的措施,则要记住。 Ponemon报告建议鼓励开发人员,因为在许多情况下,他们不认为修复漏洞与其其他职责一样重要,例如添加新功能。它建议让开发团队负责,如果他们没有在合理的时间内修复漏洞,并在发现漏洞时予以认可和奖励。

该报告还建议部署诸如Web应用程序防火墙之类的屏蔽技术,可以将其快速配置为防止新发现的漏洞,作为临时措施,直到可以应用必要的补丁或更新为止。

本文最初于2010年6月2日发布
通过网络更新新闻获取最新消息