如果企业希望保护他们的数据并避免令人尴尬的数据侵入,那么他们需要将关注点从网络转移到软件 安全性上来,特别是源代码和基于Web的应用程序。昨天晚上用户和安全专家们在这里的一个网络犯罪讨 论会上发出这样的警告。
"我们需要开始使用不同的工具来同敌人做斗争",风险投资公司Kleiner Perkins Caufield &Byers的一名合伙人Ted Schlein,在一个专题小组讨论上警告说,"你的网络管理员不一定能解决这 个问题,需要让工程师也加入--这种整体的方式能够保护你的后端存储"。
根据这家风险资本公司的说法,过去几年中,大部分企业都把资源浪费在了边界安全上,而黑客们则 越来越盯住基于Web的应用程序的漏洞,黑客以此为途径窃取数据库和后端存储系统中敏感数据。
"数据丢失每年都要花费这个国家1800亿美元到2000亿美元",他表示,边界安全,如防火墙,容易被 网络罪犯轻易绕过,"这是不对称的规则和架构--企业IT不能赶上威胁的脚步,因为数据安全掌握在网络 运营人员手中"。
位于纽约的证券托管结算公司(DTCC)为金融部门提供清算和结算服务,这家公司也在采取措施应对这 种挑战。
"我们在安全方面有一个‘超级开发员'团队",该公司的首席信息安全员James Routh解释道,"我们为 这个团队提供非常多的支持。"
黑客在软件犯罪上使用的典型技术包括跨站脚本和SQL注入,通过软件源码的漏洞,这些技术让这些罪 犯可以得到其他人的登录信息。
Gotham Digital Science公司的网络安全专家Brian Holyfield在企业IT架构上进行漏洞测试,他也同 意基于Web的应用程序确实有致命的弱点。
"这是一个主要威胁",他说,"当我们对我们的客户进行渗透测试时,80%的情况下我们都通过这些应 用程序进去了,因此你必须想想真正的黑客也在利用这80%的概率。"
DTCC解决这个问题的方法是在其软件源代码上运行大约9个不同的测试产品。这些产品包括 Application Security的AppDetective(用于检查数据库漏洞),以及来自WhiteHat的一个工具(用于扫描 Web应用程序)。
"我们在三年前就开始了这项工作,因为数据威胁的趋势显示应用程序比起网络边界更普遍地受到攻击 ",Routh解释道,"对于打包软件,我们要求厂商提供静态代码分析,动态代码分析和人工代码分析的资 料。"
"动态代码"是指那些已经完成并且正在运行的软件的代码,而"静态代码"是指那些仍然还处于测试阶 段的软件的代码。Routh表示,DTCC也使用该公司的一项名为Veracode的服务来扫描大量代码和发现漏洞 。
曾投资于Fortify Software公司的Kleiner Perkins公司的经理Schlein说,维护软件安全的责任需要 厂商和用户共同承担。"世界上大部分的软件并不是来自软件厂商,而是来自财富1000强的企业"。
虽然美国联邦政府使用公共准则的安全标准,Schlein还是认为华盛顿的政府需要在源代码上树立一个 更好的表率。他解释道:"我认为需要通过一部法案来命令联邦政府不得购买来自第三方的软件,或不得 开发未经过安全审查的自用软件"。