遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)從未像現(xiàn)在這么大。盡管如此��,無數(shù)的開發(fā)人員仍然會犯一些關(guān)鍵的錯(cuò)誤��,這些錯(cuò)誤使他們變得脆弱而不是受到保護(hù)��。
在開發(fā)任何軟件時(shí)��,都會有無數(shù)的小錯(cuò)誤導(dǎo)致您的軟件的網(wǎng)絡(luò)安全的弱點(diǎn)��。這可能使您的軟件及其用戶容易受到各種形式的網(wǎng)絡(luò)攻擊��。
了解不同類型的網(wǎng)絡(luò)攻擊是很重要的,因?yàn)樗梢宰屇阒滥憧赡軙媾R什么��。同樣��,重要的是要了解網(wǎng)絡(luò)攻擊正在變得多么普遍��,以及它們發(fā)生的可能性有多大��。
由于軟件中的大多數(shù)漏洞都是未修復(fù)的bug��,經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專家會告訴您��,您的軟件是否會成為攻擊的受害者不是問題��,而是何時(shí)成為攻擊的受害者��。
網(wǎng)絡(luò)罪犯是高技能的��,通常是經(jīng)驗(yàn)豐富的專家��,他們會精心策劃很難阻止的攻擊��。因此��,在罪犯有機(jī)會之前采取措施防止這些攻擊是至關(guān)重要的��。換句話說��,在軟件開發(fā)過程中��。
互聯(lián)網(wǎng)數(shù)據(jù)顯示��,每天有3萬個(gè)網(wǎng)站遭到黑客攻擊��。
要防止惡意軟件��、DDoS或其他網(wǎng)絡(luò)攻擊��,首先要采取措施測試軟件是否存在新的或已存在的漏洞��,并在開發(fā)過程中或開發(fā)過程結(jié)束后采取措施避免暴露自己��。
本文將解釋開發(fā)人員在軟件測試過程中所犯的四個(gè)最大的網(wǎng)絡(luò)安全錯(cuò)誤��,以及可以直接采取哪些步驟來糾正這些錯(cuò)誤��。
錯(cuò)誤#1 -沒有滲透測試
對付潛在威脅的最好方法之一是進(jìn)行滲透測試��。這是一個(gè)在攻擊者得到機(jī)會之前測試軟件安全性的過程��。
為了做到這一點(diǎn)��,測試人員使用模擬黑客場景的工具來識別和操作安全漏洞��。這類漏洞會導(dǎo)致持卡人信息��、ip��、個(gè)人記錄��、健康信息��、勒索軟件或其他惡意攻擊在真實(shí)世界中丟失��。
這是更廣泛的網(wǎng)絡(luò)安全的重要組成部分��。通過滲透測試��,您的公司或開發(fā)團(tuán)隊(duì)可以發(fā)現(xiàn)安全風(fēng)險(xiǎn)��、遵從性缺口��,并模擬大規(guī)模數(shù)據(jù)泄漏的潛在現(xiàn)實(shí)后果��。
這些也可以用來準(zhǔn)備信息安全團(tuán)隊(duì)來處理網(wǎng)絡(luò)攻擊��,并測試他們的響應(yīng)時(shí)間��。同樣��,可以規(guī)劃安全預(yù)算��,并在更有彈性的安全措施后保護(hù)重要的數(shù)據(jù)區(qū)域��。
如果沒有這個(gè)簡單而有效的過程��,您的軟件將暴露在巨大的風(fēng)險(xiǎn)中,因?yàn)槟旧鲜亲屗幱陂_放的狀態(tài)��,不管您的軟件中是否存在漏洞��。很有可能(除非您是天才的savant開發(fā)人員)您會這樣做��。
錯(cuò)誤#2 -沒有第三方代碼測試
這可能會讓人們感到驚訝��,但是開發(fā)人員很少從頭開始構(gòu)建軟件。相反��,他們所做的是構(gòu)建由現(xiàn)有代碼��、工具和其他已購買的軟件或開源軟件組成的軟件��。
一個(gè)很好的例子就是擁有第三方引擎的電子游戲,比如虛幻引擎��。
此第三方代碼通常用于對您正在開發(fā)的軟件執(zhí)行重要功能��。由于這可能影響最終構(gòu)建的各個(gè)元素,因此確保該元素的安全性至關(guān)重要��。但通常情況并非如此��。
第三方代碼/軟件可能充滿了漏洞��,而這些漏洞是最初的開發(fā)人員或后續(xù)用戶沒有注意到的��,或者只是忽略了��。最重要的是��,許多開發(fā)人員不能準(zhǔn)確地說出他們正在使用哪些第三方元素��,或者他們是否經(jīng)過了安全審計(jì)��。
這給開發(fā)人員留下了一個(gè)奇怪的難題��。從頭開始編寫代碼是不可能的��,但是希望安全漏洞被黑客忽略也是不可接受的��。那么我們能做些什么呢?
首先��,準(zhǔn)確地知道正在使用什么代碼是至關(guān)重要的。其次��,更重要的是確保它經(jīng)過了測試并被發(fā)現(xiàn)是可靠的��。通過將自己限制在已經(jīng)被發(fā)現(xiàn)是可靠的第三方元素上��,您將在很大程度上確保您的軟件具有類似級別的可靠安全性��。
這看起來像是多余的工作��,但是軟件的生死取決于它的安全聲譽(yù)——這對任何開發(fā)團(tuán)隊(duì)或公司來說都是壞消息��。WordPress插件經(jīng)常因?yàn)樵愀獾脑u論而被閑置��,并且十分之六的客戶在使用它們之前會檢查它們的評論——所以最好確保你的代碼是安全的��,你的聲譽(yù)是可靠的��。
錯(cuò)誤#3 -硬編碼密碼��,活躍的后門帳戶��,安全性差
一個(gè)巨大的(而且太常見的)測試錯(cuò)誤是在測試期間使用后門帳戶��,忘記它們的存在��,然后忘記刪除它們��。當(dāng)然��,不太可能有人會找到它��。但如果他們這樣做了��,你可能會在一個(gè)網(wǎng)絡(luò)攻擊傷害的世界中結(jié)束��。
這方面的一個(gè)例子是��,思科發(fā)現(xiàn)他們留下了后門帳戶開放��,讓攻擊者根訪問脆弱的設(shè)備��。
同樣地��,項(xiàng)目Basecamp發(fā)現(xiàn)無數(shù)的管理帳戶和登錄被硬連接到ICS固件��。然而��,當(dāng)他們通知供應(yīng)商時(shí)��,得到的回應(yīng)不是“哇”的一聲��,而是匆忙的解釋這些事情很重要��。實(shí)際上��,這些都是巨大的安全漏洞��,任何人都可以利用��。
攻擊甚至可以來自內(nèi)部��,因?yàn)镃apital One的密碼防護(hù)很差��,導(dǎo)致了巨大的數(shù)據(jù)泄露��。盡管相當(dāng)獨(dú)特��、強(qiáng)大的網(wǎng)絡(luò)安全��、更好的密碼規(guī)則以及對他們軟件的更深入了解可能有所幫助��。
對于任何正在測試的軟件��,您都希望確保在完成測試后��,所有后門帳戶都已關(guān)閉��,所有登錄憑證都已刪除��。這是非常容易做到的��,但是經(jīng)常被忽略��,給攻擊者留下了一個(gè)額外的攻擊途徑��。
錯(cuò)誤#4 -不安全的數(shù)據(jù)
數(shù)據(jù)安全可以說是編程界最大的安全問題��。不安全的��、未加密的數(shù)據(jù)處理有許多不同的類型��,但對于程序員來說��,總是出現(xiàn)經(jīng)常出錯(cuò)的情況��。例如��,缺乏加密很容易成為程序員犯的最大錯(cuò)誤之一��。
敏感數(shù)據(jù)在傳輸期間和靜止?fàn)顟B(tài)下如果不加密就無法處理��。少做一點(diǎn)就會讓它變得非常脆弱��。這可以是任何數(shù)據(jù)��,包括:密碼��、用戶名��、網(wǎng)絡(luò)攝像頭訪問權(quán)限��、財(cái)務(wù)信息等等��。其中一些會讓用戶花錢��,而另一些則會嚴(yán)重侵犯用戶的隱私��。
加密實(shí)踐在各行業(yè)中變得越來越普遍��。不僅是在軟件中,現(xiàn)在電子商務(wù)企業(yè)甚至博客都要求使用SSL加密技術(shù)來保護(hù)web服務(wù)器到瀏覽器的連接��。
但對數(shù)據(jù)進(jìn)行加密并不是萬靈藥��。您必須測試您的加密工具��,以確保它們得到充分實(shí)施��,并能夠承受所有的強(qiáng)力網(wǎng)絡(luò)攻擊��。這意味著使用現(xiàn)代的��、最先進(jìn)的加密方法��。
同樣��,如果包含它的代碼充滿漏洞��,黑客可以利用這些漏洞��,那么健壯的加密就沒有什么意義��。不管加密與否��,他們?nèi)匀豢梢栽L問數(shù)據(jù)��。
這類問題的一個(gè)例子就是Abobe被黑客竊取了超過1.5億個(gè)客戶密碼��。這些代碼是加密的��,但只使用對稱的��、可逆的加密��。這意味著��,如果黑客有足夠的技術(shù)發(fā)現(xiàn)加密密鑰��,他就可以以明文查看每個(gè)密碼��。
知道像Adobe這樣的開發(fā)人員如此粗心大意��,對公司的品牌幾乎沒有任何幫助��。在個(gè)人層面,采取行動��,例如建立安全的軟件防火墻��,以阻止未經(jīng)授權(quán)的訪問您的計(jì)算機(jī)系統(tǒng)和加密您的網(wǎng)絡(luò)與VPN服務(wù)將是絕對的最低限度的事情��,你可以做��,以幫助確保您的隱私和安全��。
這里的教訓(xùn)是��,必須認(rèn)真對待加密��。不僅是一種適用于所有安全措施的一刀切的方法��,而且是一種與您的軟件本身一樣經(jīng)過嚴(yán)格測試的方法��。
結(jié)論
沒有人希望自己的軟件成為大規(guī)模網(wǎng)絡(luò)攻擊的核心��。沒有人想成為下一個(gè)Abobe或思科��。但隨著網(wǎng)絡(luò)犯罪的增加��,以及更復(fù)雜的攻擊形式的發(fā)展��,發(fā)布未經(jīng)徹底測試的軟件不再是一個(gè)選擇��。
開發(fā)人員犯的四個(gè)最大錯(cuò)誤歸結(jié)為缺乏對他們的代碼如何變得脆弱的清晰理解��。通過了解他們的代碼將具有來自第三方軟件的固有的和采用的弱點(diǎn)��,開發(fā)人員可以嚴(yán)格地測試他們的軟件��,并防止這些錯(cuò)誤影響他們的軟件��。
同樣��,在測試后進(jìn)行整理也是至關(guān)重要的��,因?yàn)樗兄诖_保后門賬戶和硬編碼密碼已被刪除��。適當(dāng)?shù)臄?shù)據(jù)安全也必須是最重要的��,因?yàn)椴话踩臄?shù)據(jù)會導(dǎo)致大量的數(shù)據(jù)泄露��,這不僅會損害您的客戶��,還會損害您的軟件聲譽(yù)��。
