遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)從未像現(xiàn)在這么大。盡管如此����,無(wú)數(shù)的開(kāi)發(fā)人員仍然會(huì)犯一些關(guān)鍵的錯(cuò)誤,這些錯(cuò)誤使他們變得脆弱而不是受到保護(hù)����。
在開(kāi)發(fā)任何軟件時(shí),都會(huì)有無(wú)數(shù)的小錯(cuò)誤導(dǎo)致您的軟件的網(wǎng)絡(luò)安全的弱點(diǎn)����。這可能使您的軟件及其用戶容易受到各種形式的網(wǎng)絡(luò)攻擊����。
了解不同類型的網(wǎng)絡(luò)攻擊是很重要的����,因?yàn)樗梢宰屇阒滥憧赡軙?huì)面臨什么。同樣����,重要的是要了解網(wǎng)絡(luò)攻擊正在變得多么普遍,以及它們發(fā)生的可能性有多大����。
由于軟件中的大多數(shù)漏洞都是未修復(fù)的bug,經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專家會(huì)告訴您����,您的軟件是否會(huì)成為攻擊的受害者不是問(wèn)題,而是何時(shí)成為攻擊的受害者����。
網(wǎng)絡(luò)罪犯是高技能的,通常是經(jīng)驗(yàn)豐富的專家����,他們會(huì)精心策劃很難阻止的攻擊����。因此����,在罪犯有機(jī)會(huì)之前采取措施防止這些攻擊是至關(guān)重要的����。換句話說(shuō),在軟件開(kāi)發(fā)過(guò)程中����。
互聯(lián)網(wǎng)數(shù)據(jù)顯示,每天有3萬(wàn)個(gè)網(wǎng)站遭到黑客攻擊����。
要防止惡意軟件、DDoS或其他網(wǎng)絡(luò)攻擊����,首先要采取措施測(cè)試軟件是否存在新的或已存在的漏洞,并在開(kāi)發(fā)過(guò)程中或開(kāi)發(fā)過(guò)程結(jié)束后采取措施避免暴露自己����。
本文將解釋開(kāi)發(fā)人員在軟件測(cè)試過(guò)程中所犯的四個(gè)最大的網(wǎng)絡(luò)安全錯(cuò)誤����,以及可以直接采取哪些步驟來(lái)糾正這些錯(cuò)誤����。
錯(cuò)誤#1 -沒(méi)有滲透測(cè)試
對(duì)付潛在威脅的最好方法之一是進(jìn)行滲透測(cè)試。這是一個(gè)在攻擊者得到機(jī)會(huì)之前測(cè)試軟件安全性的過(guò)程����。
為了做到這一點(diǎn),測(cè)試人員使用模擬黑客場(chǎng)景的工具來(lái)識(shí)別和操作安全漏洞����。這類漏洞會(huì)導(dǎo)致持卡人信息、ip����、個(gè)人記錄、健康信息����、勒索軟件或其他惡意攻擊在真實(shí)世界中丟失。
這是更廣泛的網(wǎng)絡(luò)安全的重要組成部分����。通過(guò)滲透測(cè)試����,您的公司或開(kāi)發(fā)團(tuán)隊(duì)可以發(fā)現(xiàn)安全風(fēng)險(xiǎn)����、遵從性缺口,并模擬大規(guī)模數(shù)據(jù)泄漏的潛在現(xiàn)實(shí)后果����。
這些也可以用來(lái)準(zhǔn)備信息安全團(tuán)隊(duì)來(lái)處理網(wǎng)絡(luò)攻擊����,并測(cè)試他們的響應(yīng)時(shí)間。同樣����,可以規(guī)劃安全預(yù)算,并在更有彈性的安全措施后保護(hù)重要的數(shù)據(jù)區(qū)域����。
如果沒(méi)有這個(gè)簡(jiǎn)單而有效的過(guò)程,您的軟件將暴露在巨大的風(fēng)險(xiǎn)中����,因?yàn)槟旧鲜亲屗幱陂_(kāi)放的狀態(tài)����,不管您的軟件中是否存在漏洞����。很有可能(除非您是天才的savant開(kāi)發(fā)人員)您會(huì)這樣做。
錯(cuò)誤#2 -沒(méi)有第三方代碼測(cè)試
這可能會(huì)讓人們感到驚訝����,但是開(kāi)發(fā)人員很少?gòu)念^開(kāi)始構(gòu)建軟件。相反����,他們所做的是構(gòu)建由現(xiàn)有代碼、工具和其他已購(gòu)買的軟件或開(kāi)源軟件組成的軟件����。
一個(gè)很好的例子就是擁有第三方引擎的電子游戲,比如虛幻引擎����。
此第三方代碼通常用于對(duì)您正在開(kāi)發(fā)的軟件執(zhí)行重要功能。由于這可能影響最終構(gòu)建的各個(gè)元素,因此確保該元素的安全性至關(guān)重要����。但通常情況并非如此。
第三方代碼/軟件可能充滿了漏洞����,而這些漏洞是最初的開(kāi)發(fā)人員或后續(xù)用戶沒(méi)有注意到的,或者只是忽略了����。最重要的是,許多開(kāi)發(fā)人員不能準(zhǔn)確地說(shuō)出他們正在使用哪些第三方元素����,或者他們是否經(jīng)過(guò)了安全審計(jì)����。
這給開(kāi)發(fā)人員留下了一個(gè)奇怪的難題。從頭開(kāi)始編寫(xiě)代碼是不可能的����,但是希望安全漏洞被黑客忽略也是不可接受的。那么我們能做些什么呢?
首先����,準(zhǔn)確地知道正在使用什么代碼是至關(guān)重要的����。其次����,更重要的是確保它經(jīng)過(guò)了測(cè)試并被發(fā)現(xiàn)是可靠的。通過(guò)將自己限制在已經(jīng)被發(fā)現(xiàn)是可靠的第三方元素上����,您將在很大程度上確保您的軟件具有類似級(jí)別的可靠安全性。
這看起來(lái)像是多余的工作����,但是軟件的生死取決于它的安全聲譽(yù)——這對(duì)任何開(kāi)發(fā)團(tuán)隊(duì)或公司來(lái)說(shuō)都是壞消息。WordPress插件經(jīng)常因?yàn)樵愀獾脑u(píng)論而被閑置����,并且十分之六的客戶在使用它們之前會(huì)檢查它們的評(píng)論——所以最好確保你的代碼是安全的,你的聲譽(yù)是可靠的����。
錯(cuò)誤#3 -硬編碼密碼,活躍的后門帳戶����,安全性差
一個(gè)巨大的(而且太常見(jiàn)的)測(cè)試錯(cuò)誤是在測(cè)試期間使用后門帳戶����,忘記它們的存在����,然后忘記刪除它們。當(dāng)然����,不太可能有人會(huì)找到它。但如果他們這樣做了����,你可能會(huì)在一個(gè)網(wǎng)絡(luò)攻擊傷害的世界中結(jié)束。
這方面的一個(gè)例子是����,思科發(fā)現(xiàn)他們留下了后門帳戶開(kāi)放����,讓攻擊者根訪問(wèn)脆弱的設(shè)備。
同樣地����,項(xiàng)目Basecamp發(fā)現(xiàn)無(wú)數(shù)的管理帳戶和登錄被硬連接到ICS固件����。然而����,當(dāng)他們通知供應(yīng)商時(shí),得到的回應(yīng)不是“哇”的一聲����,而是匆忙的解釋這些事情很重要。實(shí)際上����,這些都是巨大的安全漏洞,任何人都可以利用����。
攻擊甚至可以來(lái)自內(nèi)部,因?yàn)镃apital One的密碼防護(hù)很差����,導(dǎo)致了巨大的數(shù)據(jù)泄露。盡管相當(dāng)獨(dú)特����、強(qiáng)大的網(wǎng)絡(luò)安全����、更好的密碼規(guī)則以及對(duì)他們軟件的更深入了解可能有所幫助����。
對(duì)于任何正在測(cè)試的軟件,您都希望確保在完成測(cè)試后����,所有后門帳戶都已關(guān)閉,所有登錄憑證都已刪除����。這是非常容易做到的,但是經(jīng)常被忽略����,給攻擊者留下了一個(gè)額外的攻擊途徑。
錯(cuò)誤#4 -不安全的數(shù)據(jù)
數(shù)據(jù)安全可以說(shuō)是編程界最大的安全問(wèn)題����。不安全的����、未加密的數(shù)據(jù)處理有許多不同的類型����,但對(duì)于程序員來(lái)說(shuō)����,總是出現(xiàn)經(jīng)常出錯(cuò)的情況。例如����,缺乏加密很容易成為程序員犯的最大錯(cuò)誤之一。
敏感數(shù)據(jù)在傳輸期間和靜止?fàn)顟B(tài)下如果不加密就無(wú)法處理����。少做一點(diǎn)就會(huì)讓它變得非常脆弱。這可以是任何數(shù)據(jù)����,包括:密碼、用戶名����、網(wǎng)絡(luò)攝像頭訪問(wèn)權(quán)限、財(cái)務(wù)信息等等����。其中一些會(huì)讓用戶花錢����,而另一些則會(huì)嚴(yán)重侵犯用戶的隱私����。
加密實(shí)踐在各行業(yè)中變得越來(lái)越普遍。不僅是在軟件中����,現(xiàn)在電子商務(wù)企業(yè)甚至博客都要求使用SSL加密技術(shù)來(lái)保護(hù)web服務(wù)器到瀏覽器的連接。
但對(duì)數(shù)據(jù)進(jìn)行加密并不是萬(wàn)靈藥����。您必須測(cè)試您的加密工具,以確保它們得到充分實(shí)施����,并能夠承受所有的強(qiáng)力網(wǎng)絡(luò)攻擊。這意味著使用現(xiàn)代的����、最先進(jìn)的加密方法。
同樣����,如果包含它的代碼充滿漏洞,黑客可以利用這些漏洞����,那么健壯的加密就沒(méi)有什么意義。不管加密與否����,他們?nèi)匀豢梢栽L問(wèn)數(shù)據(jù)。
這類問(wèn)題的一個(gè)例子就是Abobe被黑客竊取了超過(guò)1.5億個(gè)客戶密碼����。這些代碼是加密的,但只使用對(duì)稱的����、可逆的加密。這意味著����,如果黑客有足夠的技術(shù)發(fā)現(xiàn)加密密鑰,他就可以以明文查看每個(gè)密碼����。
知道像Adobe這樣的開(kāi)發(fā)人員如此粗心大意����,對(duì)公司的品牌幾乎沒(méi)有任何幫助����。在個(gè)人層面,采取行動(dòng)����,例如建立安全的軟件防火墻,以阻止未經(jīng)授權(quán)的訪問(wèn)您的計(jì)算機(jī)系統(tǒng)和加密您的網(wǎng)絡(luò)與VPN服務(wù)將是絕對(duì)的最低限度的事情����,你可以做,以幫助確保您的隱私和安全����。
這里的教訓(xùn)是,必須認(rèn)真對(duì)待加密����。不僅是一種適用于所有安全措施的一刀切的方法,而且是一種與您的軟件本身一樣經(jīng)過(guò)嚴(yán)格測(cè)試的方法����。
結(jié)論
沒(méi)有人希望自己的軟件成為大規(guī)模網(wǎng)絡(luò)攻擊的核心����。沒(méi)有人想成為下一個(gè)Abobe或思科����。但隨著網(wǎng)絡(luò)犯罪的增加����,以及更復(fù)雜的攻擊形式的發(fā)展,發(fā)布未經(jīng)徹底測(cè)試的軟件不再是一個(gè)選擇����。
開(kāi)發(fā)人員犯的四個(gè)最大錯(cuò)誤歸結(jié)為缺乏對(duì)他們的代碼如何變得脆弱的清晰理解。通過(guò)了解他們的代碼將具有來(lái)自第三方軟件的固有的和采用的弱點(diǎn)����,開(kāi)發(fā)人員可以嚴(yán)格地測(cè)試他們的軟件,并防止這些錯(cuò)誤影響他們的軟件����。
同樣,在測(cè)試后進(jìn)行整理也是至關(guān)重要的����,因?yàn)樗兄诖_保后門賬戶和硬編碼密碼已被刪除����。適當(dāng)?shù)臄?shù)據(jù)安全也必須是最重要的����,因?yàn)椴话踩臄?shù)據(jù)會(huì)導(dǎo)致大量的數(shù)據(jù)泄露,這不僅會(huì)損害您的客戶����,還會(huì)損害您的軟件聲譽(yù)。
