linkyou66
- 浏览: 234894 次
- 性别:
- 来自: 杭州
-
文章分类
最新评论
目前互联网安全领域的问题(2008)
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">年注定将被证明是在应用安全性领域一个备受关注的时间,就像我们所知道的</span><span lang="EN-US"><span style="font-family: Calibri;">Web2.0</span></span><span style="">快速发展。</span><span style="font-family: Calibri;"> </span><span style="">人们将搭上</span><span lang="EN-US"><span style="font-family: Calibri;">PCI</span></span><span style="">的列车,在更加安全的平台上重写他们的应用,更加重视如何安装的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用防火墙等问题。</span><span style="font-family: Calibri;"> </span><span style="">但是,应用程序的安全性应该有的措施</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">现在还没有做到。本栏解释在软件安全性测试,质量保证和保护,防止黑客去年还没有做到的地方</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">今年大家可以往这个方向努力</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">填补空白。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们的开发人员在安全性上仍然没有引起重视。</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目(</span><span lang="EN-US"><span style="font-family: Calibri;"> OWASP </span></span><span style="">)或密码和</span><span lang="EN-US"><span style="font-family: Calibri;">SSL</span></span><span style="">定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。</span><span style="font-family: Calibri;"> </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们</span></strong><strong><span style="" lang="EN-US">QA</span></strong><strong><span style="">测试测试方面,没有足够强调安全也是整个软件的质量。</span></strong><strong><span style=""> </span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。</span><span style="font-family: Calibri;"> </span><span style="">只要</span><span lang="EN-US"><span style="font-family: Calibri;">QA</span></span><span style="">测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">事实上所有</span></strong><strong><span style="" lang="EN-US">IT</span></strong><strong><span style="">专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。</span><span style="font-family: Calibri;"> </span><span style="">这种心态不仅是短视的,这是危险的。</span><span style="font-family: Calibri;"> </span><span style="">应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。</span><span style="font-family: Calibri;"> </span><span style="">还需要的管理人员的支持</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">这的往往是最缺乏的。</span><span style="font-family: Calibri;"> </span><span style="">管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。</span><span style="font-family: Calibri;"> </span><span style="">最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门技术人员咨询这方面的问题。</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">的声音对于管理者好像并不十分重要。不幸的是,许多在管理者</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">包括大量的办公人员和内部法律顾问</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">认为遵守一些基本的政策是足以涵盖安全方面的东西。</span><span style="font-family: Calibri;"> </span><span style="">这是一个多大的笑话。</span><span style="font-family: Calibri;"> </span><span style="">我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。</span><span style="font-family: Calibri;"> </span><span style="">我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。</span><span style="font-family: Calibri;"> </span><span style="">我想</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">经理认为,应用安全是一个开发部门</span><span lang="EN-US"><span style="font-family: Calibri;">/</span></span><span style="">质量部门问题,因此不属于</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们似乎没有找到一种办法来弥补的最大的弱点。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">你有没有注意到,同样的老问题依然存在?</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全联盟的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全统计项目在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">- 2008</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">9</span></span><span style="">月发布的一系列流行的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">安全漏洞:跨站点脚本,</span><span lang="EN-US"><span style="font-family: Calibri;"> SQL</span></span><span style="">注入和信息泄漏。</span><span style="font-family: Calibri;"> </span><span style="">虽然在我的工作中已经很少看见</span><span lang="EN-US"><span style="font-family: Calibri;">Sql</span></span><span style="">注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。</span><span style="font-family: Calibri;"> </span><span style="">这是现实中每个网站的情况。</span><span style="font-family: Calibri;"> </span><span style="">这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单</span><span style="font-family: Calibri;"> </span><span style="">。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><strong><span style=""><span style="font-size: small;">供应商自能提供安全扫描工具,而不是安全扫描工具的价值。</span></span></strong></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我认为,惠普收购</span><span lang="EN-US"><span style="font-family: Calibri;">SPI Dynamics</span></span><span style="">公司和</span><span lang="EN-US"><span style="font-family: Calibri;">IBM</span></span><span style="">收购</span><span lang="EN-US"><span style="font-family: Calibri;">Watchfire</span></span><span style="">公司在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。</span><span lang="EN-US"><span style="font-family: Calibri;">.</span></span><span style="">我是一个大提倡使用商用工具,如</span><span lang="EN-US"><span style="font-family: Calibri;">WebInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Acunetix</span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">做网络漏洞扫描和渗透方面测试,同时使用</span><span lang="EN-US"><span style="font-family: Calibri;">DevInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Checkmarx</span></span><span style="">做静态源代码分析。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的</span><span lang="EN-US"><span style="font-family: Calibri;">100 </span></span><span style="">%的应用程序的安全性评估</span><span lang="EN-US"><span style="font-family: Calibri;">;</span></span><span style="">特别是在渗透测试方面。</span><span style="font-family: Calibri;"> </span><span style="">我真诚地相信,你绝对必须使用手工分析技术对</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">谁对</span></strong><strong><span style="" lang="EN-US">2009</span></strong><strong><span style="">充满期待</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">尽管我玩世不恭,我还是希望对</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">的网络安全做个预测</span><span style="font-family: Calibri;"> </span><span style="">。老实说,我怀疑</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style=""><span style="font-size: small;">虽然如此,我想说得是危机也意味着机遇。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">finally -- get caught up on things left undone.</span></span><span style="">(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们的开发人员在安全性上仍然没有引起重视。</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目(</span><span lang="EN-US"><span style="font-family: Calibri;"> OWASP </span></span><span style="">)或密码和</span><span lang="EN-US"><span style="font-family: Calibri;">SSL</span></span><span style="">定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。</span><span style="font-family: Calibri;"> </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们</span></strong><strong><span style="" lang="EN-US">QA</span></strong><strong><span style="">测试测试方面,没有足够强调安全也是整个软件的质量。</span></strong><strong><span style=""> </span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。</span><span style="font-family: Calibri;"> </span><span style="">只要</span><span lang="EN-US"><span style="font-family: Calibri;">QA</span></span><span style="">测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">事实上所有</span></strong><strong><span style="" lang="EN-US">IT</span></strong><strong><span style="">专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。</span><span style="font-family: Calibri;"> </span><span style="">这种心态不仅是短视的,这是危险的。</span><span style="font-family: Calibri;"> </span><span style="">应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。</span><span style="font-family: Calibri;"> </span><span style="">还需要的管理人员的支持</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">这的往往是最缺乏的。</span><span style="font-family: Calibri;"> </span><span style="">管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。</span><span style="font-family: Calibri;"> </span><span style="">最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门技术人员咨询这方面的问题。</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">的声音对于管理者好像并不十分重要。不幸的是,许多在管理者</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">包括大量的办公人员和内部法律顾问</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">认为遵守一些基本的政策是足以涵盖安全方面的东西。</span><span style="font-family: Calibri;"> </span><span style="">这是一个多大的笑话。</span><span style="font-family: Calibri;"> </span><span style="">我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。</span><span style="font-family: Calibri;"> </span><span style="">我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。</span><span style="font-family: Calibri;"> </span><span style="">我想</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">经理认为,应用安全是一个开发部门</span><span lang="EN-US"><span style="font-family: Calibri;">/</span></span><span style="">质量部门问题,因此不属于</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们似乎没有找到一种办法来弥补的最大的弱点。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">你有没有注意到,同样的老问题依然存在?</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全联盟的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全统计项目在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">- 2008</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">9</span></span><span style="">月发布的一系列流行的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">安全漏洞:跨站点脚本,</span><span lang="EN-US"><span style="font-family: Calibri;"> SQL</span></span><span style="">注入和信息泄漏。</span><span style="font-family: Calibri;"> </span><span style="">虽然在我的工作中已经很少看见</span><span lang="EN-US"><span style="font-family: Calibri;">Sql</span></span><span style="">注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。</span><span style="font-family: Calibri;"> </span><span style="">这是现实中每个网站的情况。</span><span style="font-family: Calibri;"> </span><span style="">这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单</span><span style="font-family: Calibri;"> </span><span style="">。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><strong><span style=""><span style="font-size: small;">供应商自能提供安全扫描工具,而不是安全扫描工具的价值。</span></span></strong></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我认为,惠普收购</span><span lang="EN-US"><span style="font-family: Calibri;">SPI Dynamics</span></span><span style="">公司和</span><span lang="EN-US"><span style="font-family: Calibri;">IBM</span></span><span style="">收购</span><span lang="EN-US"><span style="font-family: Calibri;">Watchfire</span></span><span style="">公司在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。</span><span lang="EN-US"><span style="font-family: Calibri;">.</span></span><span style="">我是一个大提倡使用商用工具,如</span><span lang="EN-US"><span style="font-family: Calibri;">WebInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Acunetix</span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">做网络漏洞扫描和渗透方面测试,同时使用</span><span lang="EN-US"><span style="font-family: Calibri;">DevInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Checkmarx</span></span><span style="">做静态源代码分析。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的</span><span lang="EN-US"><span style="font-family: Calibri;">100 </span></span><span style="">%的应用程序的安全性评估</span><span lang="EN-US"><span style="font-family: Calibri;">;</span></span><span style="">特别是在渗透测试方面。</span><span style="font-family: Calibri;"> </span><span style="">我真诚地相信,你绝对必须使用手工分析技术对</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">谁对</span></strong><strong><span style="" lang="EN-US">2009</span></strong><strong><span style="">充满期待</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">尽管我玩世不恭,我还是希望对</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">的网络安全做个预测</span><span style="font-family: Calibri;"> </span><span style="">。老实说,我怀疑</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style=""><span style="font-size: small;">虽然如此,我想说得是危机也意味着机遇。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">finally -- get caught up on things left undone.</span></span><span style="">(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
分享到:
发表评论
相关推荐
六方云作为一家专注于工业互联网安全领域的科技公司,在其董事长任增强撰写的文章中深入探讨了当前工业互联网安全面临的一系列挑战,并提出了解决方案。文章从互联网安全行业发展历程、技术挑战、未来趋势、以及六方...
工业互联网安全挑战更为艰巨:一方面,工业互联网安全打破了以往相对明晰的责任边界,其范围、复杂度、风险度产生的影响要大得多,其中工业互联网平台安全、数据安全、联网智能设备安全等问题越发突出;另一方面,...
本文从工业互联网安全问题研究的第一视角出发,旨在介绍工业互联网安全的背景,分析其技术体系,并讨论目前的研究挑战与未来发展趋势。 工业互联网安全保障的必要性在于适应智能电网、智能计量、智能工厂、智能城市...
目前,新技术如云计算、大数据、物联网(IoT)以及移动技术的广泛应用,给工业互联网安全带来了更多的挑战。这些技术增加了安全问题的复杂性,传统的被动防御体系无法有效应对日益频繁的工业互联网网络攻击。特别是...
在政策支持与引导方面,应合理增加交叉领域的资源投入,推动“产学研”联合研发与应用生态体系的建立,以期在工业互联网安全领域取得突破。 随着工业互联网的不断发展,深度学习技术的进一步成熟,未来工业互联网...
工业互联网是当前数字化转型的关键领域,它将网络、...综上所述,工业互联网安全问题复杂多样,需要多角度、多层次的综合解决方案,确保工业互联网在高效运行的同时,能够抵御各种安全威胁,保障产业稳定和国家安全。
1. **自主研发能力不足**:相比于发达国家,我国在工业互联网安全领域的软硬件产品自主研发能力仍有待提高。核心技术、产业规模等方面存在差距。 2. **关键设备依赖进口**:高端关键基础装备、控制系统、软件及...
互联网安全风险防控是当前网络安全领域面临的一项重要任务,它关乎国家安全和社会稳定,对于保障广大网民的合法权益具有重要的意义。随着互联网技术的迅猛发展,互联网安全风险呈现出多样化和复杂化的特点,犯罪活动...
例如,政策法规的完善与更新是互联网医疗健康领域发展的基础,目前尚存在制度法规不健全的问题。医疗数据的安全和隐私保护也是需要重点关注的议题,数据泄露和滥用将对患者造成严重的后果。此外,互联网医疗的服务...
工业互联网目前已经广泛应用于电力、 交通、 石油、 取暖、 制造业等关键信息基础设施领域,一旦发生安全事件,往往会造成巨大的损失和广泛... 对于工业互联网安全的分析与防护,需要使用一些专门的方法和专用的技术。
通过分析云计算目前存在的安全漏洞,并结合国内外云计算安全的现状,采取相应的解决策略,将有助于提升我国云计算的安全防护能力,进一步推动移动互联网的健康发展。同时,加强信息安全管理的法律法规建设,营造良好...
然而,这种融合也带来了新的安全挑战,使得工业互联网安全问题日益凸显。工业互联网的安全不仅仅是数据安全,更是涉及到生产流程、设备安全乃至整个产业链的稳定运行,因此,提升工业互联网的安全技术保障能力至关...
最后,白皮书在思考和建议部分提出了对未来移动互联网医疗安全风控工作的展望,指出了目前移动互联网医疗面临的安全挑战,并呼吁业界同仁共同努力,不断提高移动互联网医疗的安全水平。 综合来看,这份白皮书为我们...
报告中还专门提到了工业互联网安全管理体系的建设现状,指出其目前尚不健全,同时突显了工业互联网平台数据安全风险隐患问题。此外,报告强调了工业互联网安全需求的快速上升,以及技术将从单点防御向纵深防御转变的...
【第七届互联网安全大会 ISC 2019】是中国网络安全领域的一次重要盛会,汇集了众多安全专家和技术资料,旨在探讨并解决网络安全领域的挑战和问题。本次大会涉及的议题广泛,涵盖了手机安全、信息安全、企业安全等多...
文件中提到周鸿祎(周鸿祎为360公司创始人)在360安全应急响应中心三周年庆典上发表的讲话,指出尽管360已经在网络安全领域工作了十年,公众对于网络安全的认识可能仍然比较肤浅,许多人认为网络安全仅仅包括免费...
AI在安全领域的应用不断演进,不仅通过技术革新提升了已知领域的安全防护,还通过探索和实验解决新的安全问题。利用无监督和有监督的机器学习算法,AI技术能够识别互联网中的异常访问行为,区分正常行为和异常行为,...
网络安全问题的日益严峻,促使人工智能技术被广泛引入到网络安全领域,用以提升安全防护水平和应对网络威胁。本文主要探讨了人工智能在网络安全领域的辅助应用以及所面临的挑战。 一、人工智能在网络安全中的辅助...
《5G在工业互联网领域的应用进展》 5G技术,作为新一代信息通信技术的代表,正在逐步渗透并深度改变工业互联网的面貌。5G+工业互联网的融合,旨在通过5G的强大连接能力,打破传统工业的壁垒,实现人、机、物、系统...
在当今的信息技术发展背景下,下一代互联网安全显得尤为重要。随着5G、物联网、工业互联网等新兴领域的蓬勃发展,IPv6(互联网协议第六版)技术应运而生,成为推动数字化、网络化、智能化发展的核心要素。本白皮书...