保护当今数字企业的安全并非易事。在数字生态系统的大火中,有很多东西可以危及公司网站。网站访问者和互联网用户都容易受到基于网络的恶意软件的攻击,对安全从业者来说,挫败基于网络的攻击越来越困难。
即使在日常发生的违规行为中,一些组织也没有考虑安全,特别是那些为他们的大量收入直接通过网站而来的企业。许多担心安全性的公司,就限制内部用户访问可能是潜在的危险网站而言。
但是,如果安全不是网络架构的一部分,则担心来自内部用户或第三方代码的漏洞。Cigital的高级首席顾问Jim Delgrosso表示,在构建其网站时,网络架构师是否正在考虑安全性取决于组织以及其安全计划的成熟程度。
“在金融空间中,企业一直思考它,但在其他不受严格治理的领域,它并不像普遍存在的那样普遍存在。随着很多较大的企业,它绝对是他们的雷达,”德格罗斯说。
在设计层面上,保持分隔和深度防御是加强安全性的最佳方法。“安全控制以这样一种方式分层,仅仅因为我通过了一些跨站点脚本,并不意味着我可以到达其他任何地方,”DelGrosso说,“他们需要提前考虑这一点。”
而不是让安全性提出安全,网络架构师应该考虑将创造更安全环境的控件层。
Chris Olson, CEO of The Media Trust, said, "Architecture is hacked all the time without even realizing it. Every enterprise needs to be monitoring their website, but they don’t. They check the 10 percent to 20 percent of source code that is their own, what they are ignoring is the 80% via third parties."
[同样是关于cso:如何实现更好的第三方安全性:让我们统计方式]
由企业或第三方撰写的代码是否有更多的风险似乎是辩论。一些符合自我调节开源库的可能性不太可能包含漏洞,因为他们已经被这么多眼睛检查了。但是,企业写入的代码是自制,更有可能构成安全风险,因为它没有被第三方写的那样彻底测试。
Olson said, "Third parties check code, but once it’s put into the content management system, it’s then rendering on the client side and that company that provides that code is no longer looking at it. If that company is attacked, there is no control because it resides in the CMS. The predominance of malware delivery on the web comes from this."
如果在设计网站时,漏洞的漏洞可能并不像网络架构师都安全感。然后,思考安全性,必须超出企业网站的组件,并扩展到测试第三方代码。
在今年早些时候的一个博客, The Media Trust写道:“考虑到企业网站上78%以上的代码来自第三方,IT/网站运营部门无法真正控制访客浏览器上的呈现。这种无法识别和授权供应商活动的情况会使企业面临一系列影响安全、数据隐私和整体网站性能的问题。你的网站也不能幸免。”
虽然很容易看到更大的比例并同意这些发现,但Tinfoil Security的联合创始人Michael Borohovski说:“绝大多数时候,公司编写的代码都被利用了。大公司编写的自定义代码比小公司多得多,但如果你结合了第一和第三种代码,你就更有可能在第一方遭到黑客攻击。”
虽然由于第三方代码中的漏洞发生了不可否认的违规行为,但虽然不是,但是Borohovski表示,“你有过时的软件。你没有更新六个月。”
正如大萧条时期一样,安全问题也是如此
富兰克林罗斯福总统在他的第一个就职地址中的贤者言语,“我们唯一要害怕的是恐惧本身,”也适用于今天的数字企业和网络安全。Borohovski表示,很多公司与网络安全,Web应用程序安全和第三方斗争/开源的安全。
博罗霍夫斯基说:“对于每一个问题,你都要发展一种安全文化,而不是一种恐惧或缺乏创新的文化。你的创新速度更快,因为你正在尝试编写更多的防弹工具。如果开发人员不考虑安全性,他们编写的任何东西都可能被攻击者使用。”
消除了恐惧,说Borohovski是预防的一步。"There is this idea that security is difficult. For attacks led by state sponsored actors, that is true. For vast majority, though, it’s not true. A lot of attacks can be prevented by any developer with the right tools and training," he continued.
无论他们是否在使用自己编写的软件,数字企业都面临着存在漏洞的风险。“当开放SSL漏洞发生时,就像‘心脏出血’一样,它几乎影响了整个互联网。这是3理查德·道金斯任何公司都没有个人的派对软件写道。博罗霍夫斯基说,它没有经历任何严格的安全测试。“
在这个例子中,认为多只眼睛更好的观点是不正确的。“如果他们通过了一些基本的安全测试,”Borohovski说,这可能就可以避免了。
对于任何企业来说,他们永远不希望发现自己处于一种不知道他们正在运行的代码来自哪里的情况。“依赖链是一件大事。这是一种巨大的痛苦吗?是的,毫无疑问。有一些工具可以帮助解决这个问题,承认你有问题是第一步。”Borohovski说道。
广泛的工具可以解决这些问题,以反应性和积极主动的方式解决这些问题,但Borohovski表示,“专注于第三方软件,好像它是你写的东西。对漏洞的测试就像你写的任何其他代码一样。Third party that’s open source or from other vendors—tracking solution or anything like that—are a potential surface area for vulnerabilities."
Casaba Security公司的联合创始人克里斯•韦伯(Chris Weber)表示,通常情况下,某些东西坏了才会被人发现。“第三方代码的整个依赖链可能成为一个危险的命题,依赖链可能会变得相当大,”Weber说。一些依赖链变得无法维护,因为它们可以迅速以指数形式扩展。
经常是第三次-团队代码,他们不理解内部代码,但是通过他们编写的代码,他们理解它,所以他们对自己的代码有更好的可视性,所以对企业来说,评估代码的用例和需求是一个好习惯,Weber说。
“任何时候你从第三方获得依赖,你就放弃了对你的应用程序的一些控制,”韦伯继续说。与其放弃控制权,不如问:“我们真的需要这个吗?我们需要多长时间才能建成?”
要理解安全没有界限,就需要培训和文化转变。在第一个代码和第三方代码中查找问题并不是一件简单的事情。安全性是一个持续进行的过程,从架构师到最终用户,每个人都应该把它放在最重要的位置。
这篇题为“安全盲点:网站、网络架构师和第三方代码”的文章最初由CSO .