如果公司企业想要保证他们的数据安全、避免数据泄露的尴尬事件的话,他们就应该将注意力从网络转向软件安全——尤其是针对源代码和Web应用的软件安全。这就是上周举行的一个关于网络犯罪(Cybercrime)大会上来自不同领域的用户和安全专家给出的建议。
美国风险投资公司Kleiner Perkins Caufield & Byers合伙人Ted Schlein在座谈会上指出:“你会意识到我们将不得不使用不同的技术工具来打败对手。这不是你的技术员所能解决的问题,技术工程师也必须加入其中,这样才能确保你的后端存储设备的安全。”
这几年大多数公司企业都在边界网络安全(Perimeter Security)方面投入了大量资金,黑客也开始将目标瞄准了Web应用的漏洞,进一步盗取企业数据库和后端存储系统中的机密数据。
Schlein表示:“每年我们国家数据丢失所造成的损失约在1800亿美元到2000亿美元之间。”他解释说,许多网络犯罪人已经可以成功地避过防火墙等边界网络安全措施。“这将是一套全新的体系和架构——企业IT部门不用再为这些潜在的网络安全问题而烦恼了,因为网络操作人员可以控制住网络安全。”
位于纽约的美国证券集中保管结算公司(Depository Trust and Clearing Corporation,DTCC)主要向金融用户提供结算服务,目前这家公司正在采取措施来解决网络安全的问题。
该公司首席信息安全官James Routh表示:“我们有很多在安全方面有着过人技术的开发人员,我们为他们提供了足够的支持和鼓励。”
在软件犯罪方面,黑客们惯用的手法包括跨站脚本攻击(Cross Site Scripting)和SQL Injection (资料隐码),通过这种方法犯罪人可以利用软件代码中的漏洞来读取用户的登陆信息。
Gotham Digital Science公司目前正在内部IT架构中进行漏洞测试。该公司的网络安全专家Brian Holyfield也认为,Web应用确实是企业IT架构的软肋。
他表示:“这是一个重大的安全隐患。当我们为用户作渗透测试的时候80%的时间都是花费在Web应用,可想而知真正的黑客在攻击的时候也都是将大部分时间花在应用上的。”
为了解决这个问题,DTCC在它的软件源代码中运行了九种不同的测试软件,其中包括用于检查数据库漏洞的Application Security AppDetective软件,和WhiteHat公司提供的扫描Web应用工具。
Routh表示:“我们从三年前就开始这项工作了,因为统计数据表明应用要比边界网络更容易受到黑客的攻击。对于打包软件,我们要求厂商提供有关静态代码分析(Static code analysis)、动态代码分析(Dynamic code analysis)和手动代码分析(manual code analysis)的文件记录。”
动态代码是指那些正在应用的软件,而静态代码是指仍处于测试阶段的软件。Routh表示,DTCC还使用了一家名为Veracode的厂商提供的服务,来对大量代码代码进行扫描找出存在的漏洞。
Kleiner Perkins投资公司是Fortify Software公司的投资方之一,而这家公司也是此次大会的赞助商。Kleiner Perkins投资公司的合伙人Schlein表示,厂商和用户都有责任来弥补软件安全方面的不足。他说:“目前大多数软件都不是来自于厂商的,而是来自于全球1000强企业的。”
虽然美国联邦政府已经使用Common Criteria(CC)标准,但是Schlein认为华盛顿州还应该在加密源代码方面树立更好的榜样。他解释说:“我希望未来可以颁布一项法令,规定联邦政府不能购买第三方软件,或者不能生产专门针对自己应用的软件,而且规定这些软件都是不能通过安全审计的。”
