国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　Jack Danahy為安全系統(tǒng)部高級(jí)安全總監(jiān)

　　網(wǎng)絡(luò)安全頂多是一門不準(zhǔn)確的科學(xué)。“縱深防御”和“沒有銀彈(沒有什么捷徑)”這樣的詞語頻繁的用于修飾公司的網(wǎng)絡(luò)安全，因?yàn)楣驹诰W(wǎng)絡(luò)安全方面的脆弱性是顯而易見的，包括不同的因素以及不斷變化的攻擊目標(biāo)。退伍軍人都知道完安全是像一個(gè)幽靈，這個(gè)訣竅就是將多種因素，例如意識(shí)，過程和技術(shù)等等組合到一起從而建立起一個(gè)可管理的，錯(cuò)落有致的，近乎合理的保護(hù)措施。

　　隨著新的挑戰(zhàn)不斷出現(xiàn)，以及希望舊貌換新顏，一些公司期望有新鮮的力量能夠應(yīng)對(duì)新的威脅，這些解決并不能真正的完全解決問題，而且我們整個(gè)行業(yè)整體上的普遍看法是非常短視的。但是，終有一天會(huì)覺得做總比不做強(qiáng)，真的是這樣嗎?

　　這種觀點(diǎn)感覺很有道理。它包含“我已經(jīng)盡力了”的，并且通常做到足以滿足行業(yè)監(jiān)管所規(guī)定的最低標(biāo)準(zhǔn)。但是，現(xiàn)實(shí)情況真的是這樣嗎?公司的安全情況好轉(zhuǎn)了嗎，當(dāng)制度上或經(jīng)驗(yàn)上不能真正的或完整的解決一個(gè)問題時(shí)，他們會(huì)選擇“盡其所能”嗎?

　　我不認(rèn)為他們會(huì)這樣做

　　除非一個(gè)可用的解決方案無法解決這個(gè)安全問題，這個(gè)安全問題是不同尋常的(從未遇見過)，企業(yè)才會(huì)重視它，否則，不完整的解決方案會(huì)導(dǎo)致兩個(gè)直接結(jié)果。首先，解決問題所面臨的壓力和公司承擔(dān)的責(zé)任會(huì)被削弱甚至被消除。其二，對(duì)多少比例的初始風(fēng)險(xiǎn)真正被消除做出分析并不常見。這兩方面的影響造成的結(jié)果就是企業(yè)對(duì)于所遇到的安全問題習(xí)慣了掉以輕心，對(duì)于所做的事情自我感覺良好。這聽起來企業(yè)變得更安全了嗎?

　　什么是隔離?

　　關(guān)注這個(gè)的原因是因?yàn)楫?dāng)面臨新的威脅時(shí)，相對(duì)于我們平時(shí)理解和所提供的安而言，解決方案的目的被定義的不夠準(zhǔn)確。其結(jié)果就是，抵御20%的威脅比抵御0%的威脅所做的更好，不幸的是，消除20%的威脅并沒有任何幫助，如果剩下80%的威脅仍然足以能夠摧毀你的企業(yè)。

　　我的意思是：

　　讓我們使用評(píng)估技術(shù)作為一個(gè)案例，將我們健康的身體模擬成企業(yè)的安全性。如果我感到疼痛和發(fā)熱，并且喉嚨難以下咽任何東西，我的第一反應(yīng)也許是尋找一個(gè)溫度計(jì)量體溫。我這樣做是為了確定是否發(fā)燒。同樣的道理，如果我要檢查一個(gè)應(yīng)用程序是否有漏洞，我會(huì)進(jìn)行一次簡單的掃描，尋找一些容易被識(shí)別的漏洞。對(duì)于判斷是否“健康”來說，溫度計(jì)和掃描兩者將是非常有效的工具。

　　然而，在我發(fā)燒的時(shí)候，我可能也會(huì)思考是什么引起的發(fā)燒：我吃了不該吃的東西(食物中毒)?最近我受過傷(感染)?我的喉嚨受到刺激以及發(fā)炎了?為了讓溫度計(jì)的度數(shù)有其真正的價(jià)值，我需要從一個(gè)簡單的評(píng)估繼續(xù)做一個(gè)更加詳細(xì)的診斷，例如去看醫(yī)生，驗(yàn)血和培植細(xì)胞，或者也許需要做一個(gè)核磁共振成像。 我不僅僅要開幾天的阿司匹林還要不能忘記吃藥。如果我不是量體溫以及發(fā)現(xiàn)自己發(fā)燒，我肯定不會(huì)這樣做。

　　如果我們回顧一下其他一些關(guān)于應(yīng)用程序評(píng)估的案例，通常會(huì)發(fā)生什么?根據(jù)我的經(jīng)驗(yàn)，當(dāng)漏洞通過工具或類似的服務(wù)程序發(fā)現(xiàn)時(shí)，公司通常會(huì)立即做出處理。在評(píng)估后，尋找缺陷類型或啟動(dòng)原因分析以便找出漏洞原因，這些更加細(xì)化的評(píng)估并不能保持連續(xù)性。某些評(píng)估是作為獨(dú)立的服務(wù)機(jī)構(gòu)負(fù)責(zé)的，并沒有適當(dāng)考慮或使用模型進(jìn)行綜合整治。因?yàn)楹唵蔚脑u(píng)估被看作是“聊勝于無”，從某種意義上，系統(tǒng)已經(jīng)被評(píng)估了，漏洞已經(jīng)被發(fā)現(xiàn)及修復(fù)了，評(píng)估過程已經(jīng)完成。

　　做完一次簡單的評(píng)估后，會(huì)有很多理由終止評(píng)估過程，這種評(píng)估的模式已經(jīng)足以滿足PCI(支付卡行業(yè) 數(shù)據(jù)安全標(biāo)準(zhǔn) )標(biāo)準(zhǔn)第六條的要求或者針對(duì)應(yīng)用程序安全性的一般要求。這個(gè)評(píng)估過程已經(jīng)取得了應(yīng)有進(jìn)展。由于缺乏自我反省的欲望，這個(gè)問題已經(jīng)被清除，因此，不需要再繼續(xù)進(jìn)行下去了。

　　這種模式導(dǎo)致了目前的情況，在面對(duì)20年前老舊的手法以及通過未加密數(shù)據(jù)傳輸和造成的數(shù)據(jù)意外泄露時(shí)，那些技術(shù)上所謂的真正高手仍然表現(xiàn)的不堪一擊。過于簡單明了的評(píng)估解決方案曝露出公司所需求的復(fù)雜性，這個(gè)需求就是讓公司變得更安全。評(píng)估軟件，系統(tǒng)或常規(guī)做法都是已知的解決方案的一部分，很顯然如果不清楚這些將會(huì)導(dǎo)致隱藏風(fēng)險(xiǎn)和漏洞的不斷增加及擴(kuò)散。如果對(duì)于低燒我只是一直服用阿司匹林，而真正的問題也許是由鏈鎖狀球菌或闌尾炎引起的，最終我會(huì)遇到大麻煩。

　　那么，答案是什么呢?

　　目前，我總能聽到這樣的抱怨：在與安全性方面的持久戰(zhàn)中最終會(huì)以失敗告終，因?yàn)椴豢赡芡耆晒ΑＤ敲?，現(xiàn)在我會(huì)告訴你如果有一半的措施實(shí)施也會(huì)弊大于利。重點(diǎn)是什么呢?

　　秘密就是將其中的一部決方案包含有真正的功能并且將其用于目前的方案中。我們有責(zé)任去了解找到了什么以及沒有找到什么。我們要對(duì)企業(yè)自身已經(jīng)發(fā)現(xiàn)的漏洞以及正在尋找的漏洞保持透明度。我們不必對(duì)問題的做深入的調(diào)查，我們應(yīng)該將風(fēng)險(xiǎn)降低到最低限度的工作做好。

　　回到我們進(jìn)行的簡單評(píng)估案例，這里我推薦具有實(shí)際價(jià)值意義的五個(gè)評(píng)估步驟。

　　步驟1

　　你正在試圖確定評(píng)估的類型。這相當(dāng)于一次健康檢查嗎? Gary McGraw 博士(Cigital公司的首席技術(shù)官和董事會(huì)成員)曾經(jīng)稱它為“不良檢測” ?；蛘吣阏谠噲D評(píng)估這個(gè)應(yīng)用程序是否安全嗎?如果這是一次健康檢查，一定要確保進(jìn)行溝通交流。如果為了提高安全性，那么我們進(jìn)行第二步。

　　步驟2

　　在軟件或系統(tǒng)中需要對(duì)安全特性進(jìn)行定義。你是否對(duì)加強(qiáng)激活程序(加密，認(rèn)證，審核記錄)，驗(yàn)證架構(gòu)(通用安全的使用，安全編碼協(xié)議)或者識(shí)別錯(cuò)誤(緩存溢出，錯(cuò)誤輸入驗(yàn)證)感興趣呢?你所要考慮的這些手段，對(duì)于搜索漏洞而言過于簡單了，如果想要具體追其根源就會(huì)無從考證。

　　步驟3

　　相互間的溝通交流將決定方法的使用。這些溝通包括一系列造成無法評(píng)估和驗(yàn)證的不安全因素。應(yīng)該嘗試去將整合的識(shí)別信息做出一份報(bào)告，并搜尋未檢測的漏洞。然而，不對(duì)這些問題深究其原因看似有很多且合情合理。它們可能會(huì)說由于專業(yè)的差距，時(shí)間緊促，預(yù)算壓力或者其它的任何理由進(jìn)行推脫。最重要的一點(diǎn)是措施手段的局限性，并且每當(dāng)對(duì)安全性進(jìn)行廣泛討論時(shí)總要重新對(duì)它進(jìn)行反復(fù)爭論。

　　步驟4

　　從你的合作伙伴中增加透明度。這些工具會(huì)識(shí)別出什么?服務(wù)公司搜尋的是哪種問題?內(nèi)如團(tuán)隊(duì)如何利用這個(gè)過程或服務(wù)公司所提供的解決方案?你所期望的與任何的需求都一樣，具體來說就是它們沒有搜尋到漏洞以及它們的盲點(diǎn)。當(dāng)這個(gè)透明度增加了，就可以很容易的討論價(jià)值，價(jià)格以及預(yù)期收益了。

　　步驟5

　　將安全性進(jìn)行自然的細(xì)化。我們知道安全性本身就是一個(gè)復(fù)雜的難題，它在很多方面都需要很長一段時(shí)間才能被解決。就如同許多形狀不規(guī)則的物體,可能存在不同尺度上的相似性，為你所要了解的和提高的安全性的每一種因素建立一種更高的有限性和積極性。突破以往所測試的熱點(diǎn)位置，例如，自身存在的應(yīng)用程序安全，網(wǎng)絡(luò)安全或者ID管理組件，在一種新的和高透明度的方法下進(jìn)行測試。

　　問題的根源

　　正如我所做的工作一樣，使我深深地感到持續(xù)增長的安全性作為一個(gè)真正需要關(guān)注的問題。目前，在安全性問題上已經(jīng)花費(fèi)了數(shù)十億美元，很難找到任何一個(gè)風(fēng)險(xiǎn)已經(jīng)被消除的公司。我們一直專注于是用更好的工具和手段消除這些風(fēng)險(xiǎn)，然而未被檢測出來公司的風(fēng)險(xiǎn)不斷地增加并且日益嚴(yán)重。我們要對(duì)已經(jīng)完成檢測的公司負(fù)責(zé)，而剩下的，你應(yīng)該確保它們選擇“最合適的服務(wù)公司”，而不是“聊勝于無”。