應(yīng)用安全通向未來的六個做法淺析_第1頁
應(yīng)用安全通向未來的六個做法淺析_第2頁
應(yīng)用安全通向未來的六個做法淺析_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

應(yīng)用安全通向未來的六個做法淺析

該組織定期舉辦這類會議為的是能夠轉(zhuǎn)變趨勢,包括11月10日至13日期間在該國首都舉辦的2009OWASP應(yīng)用安全大會(AppSecDC)。我們有幸與OWASP成員MattFisher取得了聯(lián)系,同時他也是Piscis安全公司的CEO兼AppSec參與公司之一,我們將與他來一起探討今天的應(yīng)用安全的問題所在,以及扭轉(zhuǎn)這一局面的六個方法。我們首先先為大家呈現(xiàn)一些問答,隨后會告訴大家這六個做法。問:關(guān)于使用Web2.0企業(yè)最大的問題在哪以及最大的安全威脅是什么?答:是的,“Web2.0”的形式其實與“云計算”差不多。其中最大的挑戰(zhàn)就是我們?nèi)绾螌Χ哌M行定義?!癢eb2.0”會涉及到編程技術(shù),會導致瀏覽器插件的增多,以及與富網(wǎng)絡(luò)應(yīng)用相關(guān)的客戶端技術(shù)本身已經(jīng)越來越多的成為漏洞的共享者。同樣,也會涉及到應(yīng)用的合作和了解,例如內(nèi)部WiKi和博客。其中的危機(特別是在WiKi上)是你幾乎不能對用戶生成的內(nèi)容有任何控制權(quán)。如果這樣的WIKI對于整個公司的人都開放的話,那么你就會看到公司里面的任何一個人的做法,看到他們在發(fā)送機密和不合適的內(nèi)容?,F(xiàn)在,如果提到“Web2.0”,首先意味著社交網(wǎng)絡(luò)應(yīng)用,然后威脅就隨著而來了。你會發(fā)現(xiàn),盡管你知道這些應(yīng)用在過去很長時間都以“不安全”著稱,并且因蠕蟲等不好的問題而臭名昭著,但是這些應(yīng)用在破壞你的在線名譽上都有很大的潛力。問:一些OWASP成員認為政府的應(yīng)用安全還有十年就會發(fā)展成熟了。請您談?wù)撘幌?,為什么某種意義上來說聯(lián)邦政府需要更加了解Web2.0,與私營部門相比,其危險的獨特性在哪里?答:我認為在理解上最重要的是,來自政府的信息是必須被信任的,因為一個新興的Web應(yīng)用日漸流行并不意味著對于所有的政府用途是合適的媒介。從網(wǎng)絡(luò)安全的角度來看,這些應(yīng)用的托管本質(zhì)就意味著挑戰(zhàn)。人們通過這些應(yīng)用來交換部門或機構(gòu)的信息,不能用常見的安全程序管理這些應(yīng)用。除了密碼以外你沒有其他的方式來控制系統(tǒng),簡言之就是你甚至不知道密碼是否被保存完好。你沒有托管數(shù)據(jù)中心,完全不能控制操作系統(tǒng)的安全、應(yīng)用安全、網(wǎng)絡(luò)防御,不能做出及時的回應(yīng),你不能進行任何辯論。這就是零控制。當然,理論上講這種風險是很低的,因為無論如何這些應(yīng)用都是通過大眾傳播的。我最近讀到了一個關(guān)于這個主題的分析,當討論威脅的時候,他提到一些東西會起到影響的作用,但是完整性起到的作用并不大,因為這是一個公共的系統(tǒng),但是我不太同意他的觀點。如果你像美國政府一樣正在使用這樣的網(wǎng)站來進行信息的交流的話,那么這些信息的完整性是極為重要的。對手在其中一個應(yīng)用中找到漏洞是完全有可能的。你只能在恰當?shù)臅r候在錯誤信息方面使用它,或者在進行一場心理戰(zhàn)役的時候使用它。想象一下,所有的人從不同的機構(gòu)獲取信息到他們的手機上?,F(xiàn)在想象一下,在一場國家災(zāi)難中這些信息突然變成虛假信息。問:讓我們回過頭來看私營部門。政府的安全漏洞對小型的企業(yè)會形成很不好的影響,反過來也一樣。能否給我們列舉一兩個Web2.0在這方面的例子。答:對于政府來說他們與很多行業(yè)都有著合作的關(guān)系,能夠?qū)λ麄冞M行支持,往往與這些部門和機構(gòu)有著錯綜復雜的關(guān)系,有很多過去的違規(guī)例子都說明承包商讓客戶面臨危險。當然這些可以像其他的外部環(huán)境一樣也存在于Web2.0世界。問:現(xiàn)在我們已經(jīng)明確了應(yīng)用安全所面臨的問題,能否給我們一些公共和私營部門可以用于應(yīng)用安全改善現(xiàn)狀的做法。答:可以遵守以下6和步驟:1、建立一個團隊。聯(lián)邦政府等大型企業(yè)更易于受筒倉效應(yīng)的影響。而一個管理良好的簡單的內(nèi)部站點可以出奇地利用整個企業(yè)的專業(yè)知識。2、讓更多的人學習專業(yè)知識?,F(xiàn)在大多數(shù)應(yīng)用安全的知識都存在于安全小組中。這在開始是好的,但是最終會員工也需要建立程序或者修復應(yīng)用程序;所以,你需要也讓專家來教員工怎么做。3、在利用工具之前先思考問題。工具確實可以自動化地完成一些任務(wù),但是要知道它們只是協(xié)助你來完成評估的工作。即使這樣,評估也只是計劃的一部分。4、提供指導。軟件開發(fā)者想開發(fā)出安全并且兼容的軟件;他們根本不知道怎

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論