應(yīng)該首先保護(hù)哪些應(yīng)用程序

■鐵生

應(yīng)該首先保護(hù)哪些應(yīng)用程序

■鐵生

大多數(shù)企業(yè)IT環(huán)境中可能有數(shù)百個、乃至數(shù)千個應(yīng)用程序。它們極有可能是在過去10年或20年編寫、更新和打上補(bǔ)丁的。你可能對那些應(yīng)用程序并沒有做好足夠到位的安全工作，在人們不知不覺當(dāng)中，安全這筆債很快會堆積如山。

不妨看一看應(yīng)對這個挑戰(zhàn)的若干糟糕戰(zhàn)術(shù)：

第一個糟糕戰(zhàn)術(shù)：只保護(hù)面向外部的應(yīng)用程序。

這是最常見的戰(zhàn)術(shù)之一。由于資源有限，企業(yè)的團(tuán)隊(duì)專注于面向外部的應(yīng)用程序，這絕對是采用的最糟糕戰(zhàn)術(shù)之一。某個應(yīng)用程序是否暴露在互聯(lián)網(wǎng)面前，這僅僅是決定應(yīng)用程序“內(nèi)在風(fēng)險”的諸多因素當(dāng)中的一個。如果這是你唯一要考慮的因素，那么大量的時間和精力就會耗費(fèi)在對貴企業(yè)來說風(fēng)險不是那么高的應(yīng)用程序進(jìn)行深層安全審查的工作上。相反，應(yīng)該考慮數(shù)據(jù)的敏感性、業(yè)務(wù)職能有多關(guān)鍵、用戶群體及攻擊者群體的數(shù)量和技能以及其他風(fēng)險因素。

第二個糟糕戰(zhàn)術(shù)：每次只面對一種應(yīng)用程序。

大多數(shù)方法試圖每次只面向一種應(yīng)用程序來處理應(yīng)用程序的安全。當(dāng)你對應(yīng)用程序執(zhí)行深層安全分析時，許多時間浪費(fèi)在了很小的安全漏洞上，而這些安全漏洞不太可能讓企業(yè)倒閉破產(chǎn)。每年，有更多的應(yīng)用程序和更多的攻擊途徑需要考慮。所以，每年，安全團(tuán)隊(duì)要做的工作越來越多。每次面向一種應(yīng)用程序這個做法根本不具有可擴(kuò)展性。相反，應(yīng)專注于如何杜絕你所有應(yīng)用程序面臨的最重大漏洞。……