首页
社区
课程
招聘
[转帖]雅虎遭袭教训总结:第三方代码高风险不可控
发表于: 2013-3-27 17:13 2336

[转帖]雅虎遭袭教训总结:第三方代码高风险不可控

2013-3-27 17:13
2336
http://www.enet.com.cn/security/ 2013年03月26日18:50 来源:eNet硅谷动力
【文章摘要】Imperva发布名为“从雅虎遭袭的经验教训”的黑客情报计划报告。报告分析了第三方代码在云计算中的危险。
  Imperva发布名为“从雅虎遭袭的经验教训”的黑客情报计划报告。报告分析了第三方代码在云计算中的危险。

  2012 年 12 月,一名黑客找到了雅虎网站上的第三方应用程序的漏洞,从而攻击了雅虎。他所使用的攻击方式被称为 SQL 注入。这次攻击反映了很多网络应用程序所面临的风险:网络应用程序通常包含着某种第三方代码,例如 API,这种代码一般并非是开发者开发的源代码,不可自行改动和修复,存在相当大的不可控性,大大增加了网站遭受攻击的风险。

  “雅虎遭袭的最薄弱环节并非由雅虎公司自行开发编程的,甚至不是由雅虎服务器所代管的程序。主要原因起源于在其服务器上进行应用的第三方程序代码所产生的漏洞。”Imperva 公司首席技术官 Amichai Shulman 先生说:“雅虎遭到攻击的事件对企业肩负起如何确保第三方代码和云端应用程序的安全责任提出了巨大挑战。”

  作为Imperva (IMPV) 董事长和 CEO,以及世界上最伟大的信息安全行业的企业家----Shlom  Kramer 先生深入挖掘了这些黑客背后的动机。他说道:“这些黑客深不可测,背后暗藏金钱、政治或军事动机。他们已突破了数据中心储存业务交易和其它数据保护技术应用的屏障。”

  Kramer 先生认为 Imperva 为希望在“新型威胁环境”中保护自己的企业来说,提供了卓越的安全解决方案。

  同时,在“雅虎遭袭的经验教训”这份报告中,Imperva 公司提出了具体的解决方案。例如,为了维持业务良性发展,企业应:

  ·从安全的角度考虑,在合同中制定您能接受什么,不能接受什么的法律条款。
  ·将信息安全责任的调查,纳入企业并购事务的考量范围之内。

  在此报告中,Imperva 公司也提出了技术方面的建议措施:

  · 对网络应用程序所存在的漏洞进行安全评估。用人工方式检查网络应用程序的安全,或正确运用自动应用程序可以识别潜在漏洞,并评估漏洞的安全系数。这些漏洞应在软件开发生命周期 (SDLC) 的初始阶段就予以充分考虑和提出解决方案。
  · 部署网络应用程序防火墙 (WAF)。网络应用程序防火墙对于信息安全起到至关作用,可防止有漏洞的网络应用程序被利用。

  Kramer 先生同时就此事件背后所隐藏的信息安全市场发展方向发表了自己的看法。“信息安全市场十分庞大--每年的销售额可达到 300 亿美元。”对于 Imperva 的未来Kramer 先生同样满怀信心。Imperva 的目前客户基础非常庞大,并且呈持续增长的趋势。因为企业组织日益关注到其数据中心的信息受到全新的安全威胁。据 Kramer 先生称:“我们所拥有的2200 家的大型企业客户正在努力保护自己免受外部载体的入侵,包括移动设备、网络应用程序,来自于客户和合作伙伴的潜在信息危害。”

  “我们的主要指标均呈现乐观趋势。目前订购火爆,销售渠道正在不断拓展。而且越来越多的组织认为为保护数据中心的安全,有必要平衡此方面的预算,增加相应的投入。”

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//