反黑客任務(wù)

Sohaib Athar是巴基斯坦一名普通的IT人士，因?yàn)闊o(wú)意中對(duì)美國(guó)反擊本.拉登進(jìn)行了微博直播，一夜之間成為了網(wǎng)絡(luò)名人。他沒(méi)想到出名帶來(lái)的后果：一個(gè)黑客在Athar的博客上安裝了惡意軟件，他上百萬(wàn)的新訪客和潛在訪客都可能成為惡意軟件的受害者。

商業(yè)網(wǎng)站——從小企業(yè)到商業(yè)巨頭的網(wǎng)站——正遭受到越來(lái)越多的網(wǎng)絡(luò)安全攻擊。對(duì)商業(yè)網(wǎng)站來(lái)說(shuō)，他們必須學(xué)習(xí)在一個(gè)新的、日益丑惡的世界里做生意。

即使是掌握豐富資源和強(qiáng)大團(tuán)隊(duì)的企業(yè)也可能被攻擊。今年早些時(shí)候，黑客盜取了至少70萬(wàn)索尼PlayStation網(wǎng)絡(luò)用戶(hù)的信用卡信息和個(gè)人資料。RSA——馬薩諸塞州一家網(wǎng)絡(luò)安全公司，為超過(guò)90%的世界500強(qiáng)企業(yè)提供網(wǎng)絡(luò)安全服務(wù)，它也由于公司安裝的某些軟件中的隱藏缺陷，而被黑客攻擊。

索尼預(yù)計(jì)在2010-2011財(cái)年凈虧損達(dá)到32億美元，其中一個(gè)原因就是受黑客襲擊。RSA也遭受了信任危機(jī)，它曾經(jīng)被看做無(wú)懈可擊的安全產(chǎn)品正不斷被質(zhì)疑。

這些攻擊的核心是一種新的商業(yè)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)罪犯不僅利用市場(chǎng)上商業(yè)電腦硬件和軟件的弱點(diǎn)，現(xiàn)在，他們也越來(lái)越多地利用公司網(wǎng)站上定制的商業(yè)應(yīng)用程序里隱藏的缺陷。這些應(yīng)用程序的漏洞有著怪異但是聽(tīng)起來(lái)無(wú)害的名字，如SQL注解和腳本錯(cuò)誤等。但他們不是無(wú)害的，他們對(duì)公司以及公司客戶(hù)都有著極大的潛在破壞性。

Jeff Williams，安全顧問(wèn)和開(kāi)放式Web應(yīng)用程序安全項(xiàng)目（美國(guó)馬里蘭州哥倫比亞地區(qū)一個(gè)非營(yíng)利的應(yīng)用程序安全協(xié)會(huì)項(xiàng)目）的主席說(shuō)：“不僅是商用硬件和軟件受到攻擊，越來(lái)越多的，由某個(gè)公司編寫(xiě)的自定義應(yīng)用程序也受到攻擊。”

對(duì)企業(yè)來(lái)說(shuō)，這意味著下載并安裝最新版本的操作系統(tǒng)、軟件和安全工具不再足夠。現(xiàn)在企業(yè)面臨著艱巨的任務(wù)：測(cè)試、人工分析代碼和估計(jì)網(wǎng)站整體風(fēng)險(xiǎn)水平——公司的網(wǎng)站上定制的應(yīng)用程序幾乎總有漏洞。這些自定義應(yīng)用程序包括任何自定義編碼的、開(kāi)放源代碼的程序，比如公司網(wǎng)頁(yè)、博客訂閱、商家賬戶(hù)、購(gòu)物工具、內(nèi)容管理系統(tǒng)和營(yíng)銷(xiāo)應(yīng)用程序等。

對(duì)于很多企業(yè)，最少要對(duì)幾萬(wàn)行代碼進(jìn)行檢查和風(fēng)險(xiǎn)分析。如果發(fā)現(xiàn)關(guān)鍵信息有泄漏風(fēng)險(xiǎn)，必須立即修復(fù)漏洞，不然就必須把應(yīng)用程序從網(wǎng)站上拿下。

“我們應(yīng)當(dāng)意識(shí)到，保證應(yīng)用程序的安全性相當(dāng)困難，”Justin Clarke——紐約一家網(wǎng)絡(luò)安全公司Gotham數(shù)碼科技的主管說(shuō)：“但我們不能什么也不做，網(wǎng)絡(luò)罪犯不關(guān)心你的企業(yè)，他們的攻擊是為了得到客戶(hù)的信息。”

保證應(yīng)用程序的安全性也不便宜。提供應(yīng)用程序安全服務(wù)的專(zhuān)業(yè)人士都是軟件界的高薪精英。網(wǎng)絡(luò)安全服務(wù)外包起價(jià)高達(dá)每小時(shí)幾百美元，應(yīng)用程序安全維護(hù)軟件的價(jià)格可達(dá)到七位數(shù)，另外，每年的維護(hù)費(fèi)也達(dá)到買(mǎi)價(jià)的10%～15%。也難怪大公司每年在應(yīng)用程序安全服務(wù)上的預(yù)算高達(dá)數(shù)百萬(wàn)美元。

對(duì)于較小的企業(yè)來(lái)說(shuō)，也有希望改善自定義應(yīng)用程序的安全性。一種新的基于Web的應(yīng)用程序安全性服務(wù)已經(jīng)向規(guī)模較小的企業(yè)開(kāi)放，但這些工具不是像諾頓殺毒那樣便宜。公司預(yù)計(jì)花費(fèi)至少要達(dá)到每年15000美元，或者更多——如果他們至少有一個(gè)網(wǎng)站，這樣才能保證更高的安全性。這個(gè)價(jià)格意味著有些企業(yè)只能任風(fēng)險(xiǎn)存在。但對(duì)于法律、醫(yī)療或政府網(wǎng)站，數(shù)據(jù)丟失可能導(dǎo)致民事和刑事處罰，他們沒(méi)有選擇余地，只能支付巨額保證應(yīng)用程序的安全性。

如何提高應(yīng)用程序的安全性呢？花錢(qián)讓別人解決該問(wèn)題，這樣，除了知道您正采取步驟來(lái)保護(hù)您的業(yè)務(wù)和客戶(hù)，在出現(xiàn)問(wèn)題時(shí)，也有了第三方共同承擔(dān)責(zé)任。萬(wàn)一出現(xiàn)安全漏洞，您雇傭的公司也需要承擔(dān)相應(yīng)責(zé)任。

采用第三方服務(wù)并不簡(jiǎn)單，最好在您能力范圍內(nèi)聘請(qǐng)資金充足、有優(yōu)秀人才儲(chǔ)備的組織機(jī)構(gòu)。亞馬遜的靈活支付服務(wù)和PayPal是網(wǎng)上結(jié)賬合作伙伴不錯(cuò)的選擇。他們都資金雄厚，有幾十年提供安全更新服務(wù)的經(jīng)驗(yàn)。谷歌和微軟提供優(yōu)良的托管式網(wǎng)絡(luò)服務(wù)，并為小企業(yè)提供多種類(lèi)型的安全產(chǎn)品。ADP、Intuit和Paychex公司提供安全的薪酬支付和商業(yè)系統(tǒng)，有為大公司提供應(yīng)用程序安全服務(wù)的良好記錄。

另外不要忘了您的博客和社交媒體——您與客戶(hù)互動(dòng)的地方通常安全隱患很高。許多專(zhuān)家認(rèn)為，谷歌Blogger和WordPress的托管網(wǎng)絡(luò)應(yīng)用程序?yàn)樾∑髽I(yè)提供了良好、安全的服務(wù)資源。

“我堅(jiān)決支持盡可能多的外包，”Bill Pennington（加州圣克拉拉一家為大中型企業(yè)提供安全風(fēng)險(xiǎn)分析的公司W(wǎng)hiteHat Security的首席戰(zhàn)略官）說(shuō)：“大型網(wǎng)絡(luò)服務(wù)公司投資數(shù)十億美元保證網(wǎng)絡(luò)安全，這對(duì)小公司來(lái)說(shuō)是不可能的。”無(wú)論您采用何種外包解決方案，您必須確保在您可控的地方存儲(chǔ)公司備份數(shù)據(jù)。如果有任何問(wèn)題，您至少不會(huì)損失公司數(shù)據(jù)。

Philippe Courtot，公司董事長(zhǎng)兼首席執(zhí)行官說(shuō)：“我們希望為所有企業(yè)提供最優(yōu)質(zhì)的應(yīng)用程序安全服務(wù)，只需要稍微培訓(xùn)，即使是最小的企業(yè)也能運(yùn)行。”但是如果它提供了你根本看不懂、或者看懂了還是不知道如何采取行動(dòng)的結(jié)果，不要太驚訝。

掃描工具只是安全難題中的一環(huán)，您將需要抽出時(shí)間專(zhuān)門(mén)研究如何運(yùn)行。當(dāng)然，這可能使小公司陷入困境——你是否應(yīng)當(dāng)對(duì)安全問(wèn)題投入資源？最好是采訪一些應(yīng)用程序安全顧問(wèn)，以評(píng)估應(yīng)用程序安全是否對(duì)公司的安全構(gòu)成威脅，然后決定您是否可以承受不處理風(fēng)險(xiǎn)的后果。

現(xiàn)在來(lái)講最困難的部分是——如何選擇一個(gè)應(yīng)用程序安全顧問(wèn)。聘請(qǐng)一個(gè)應(yīng)用程序安全的專(zhuān)業(yè)人士是復(fù)雜、昂貴、坦白來(lái)說(shuō)有些煩人的問(wèn)題。很多時(shí)候，安全專(zhuān)家有良好的意圖，也努力工作。但是，像許多高薪顧問(wèn)一樣，他們往往難以管理，并認(rèn)為他們?cè)诠鞠到y(tǒng)之外或系統(tǒng)之上工作。您的應(yīng)用程序安全性專(zhuān)家顧問(wèn)很可能與軟件開(kāi)發(fā)人員發(fā)生沖突，因?yàn)樗芸赡軙?huì)對(duì)您的軟件開(kāi)發(fā)人員指手劃腳。

尋找合適的顧問(wèn)很棘手。一個(gè)明智的方式是從一個(gè)非營(yíng)利性安全組織的地方分會(huì)入手，比如開(kāi)放式Web應(yīng)用程序安全項(xiàng)目。選擇一個(gè)在您的軟件類(lèi)型內(nèi)有良好記錄的安全專(zhuān)家。如果您能找到一個(gè)特定領(lǐng)域的研究專(zhuān)家就更好了。此外，像雇用他人一樣，您也可以向自動(dòng)化工具的專(zhuān)家要求推薦信，他們中很多人與當(dāng)?shù)亟?jīng)銷(xiāo)商有主動(dòng)轉(zhuǎn)介服務(wù)等關(guān)系。

因此，你需要研究相應(yīng)的方案和預(yù)算。但是，正如選擇醫(yī)生一樣，你也需要應(yīng)用程序的安全專(zhuān)家第二甚至第三個(gè)備用。隨著網(wǎng)絡(luò)迅速成為一個(gè)虛擬的狂野大西部，你需要集合所有的應(yīng)用程序安全部隊(duì)。

_譯/萬(wàn)婧